我目前正在寻找一种方法来加密我的用户密码,而不是简单地使用 crypt(),在阅读了这个 stackoverflow 答案后,我决定使用Phpass 0.3。但是,当您访问 Phpass 主页时,它还具有下载签名的选项。有两种不同的签名可用,如果您愿意,您似乎可以创建自己的签名。
1]签名的目的是什么,它们是如何工作的?
2]它们是使用 Phpass 所必需的,还是只是额外的安全层?
问问题
58 次
1 回答
1
签名用于验证下载。这里解释了如何使用它们。
想一想,您正在下载一个软件,您将在软件的安全敏感、关键功能中使用该软件。谁能保证您在服务器上下载并愉快执行的内容不包含恶意后门?只有你对作者的信任才能做到。
作者已经对他的可下载代码进行了数字签名,并提供了一个您可以验证的公共签名。这个想法是您下载代码,获取签名并验证两者是否匹配。这有助于防止攻击者破坏您的下载并在您下载时将恶意代码插入其中,或者防止有人入侵服务器并用恶意代码替换代码。
请注意,尽管作者本人声明如果服务器已被入侵,签名也可能被入侵。
注意:这些天我推荐 PHPpassword_hash而不是古老的 Phpass 库。
于 2014-08-26T14:17:46.097 回答