1

最近我们的 Web 应用程序通过了审核。审核员得出以下结论:

尽管 SSL 已经实施和强制执行,但这仅意味着存在网络加密(即,如果有人使用网络嗅探工具,数据将不会以明文形式存在)。但是,在端点(即客户端工作站)可能已被代理或监控工具篡改。如果是这种情况,在登录或更改/重置密码期间不实施应用程序加密将允许以明文形式查看用户凭据。

是否有任何标准程序/实践可用于解决此类安全问题?客户端 JavaScript 加密/散列值得考虑吗?

注意:它是一个只处理数据检索的 JavaEE 应用程序(Struts+EJB)(即查询系统)

4

2 回答 2

0

SSL 加密有助于避免网络嗅探和拦截攻击,例如中间人。但是,如果拦截发生在之后,那么您需要在客户端进行加密。

于 2015-04-16T09:39:11.147 回答
0

是的.. 对凭据进行散列是明智的,这样即使攻击者使用代理,他/她也无法理解正在传递的数据。

于 2015-04-16T09:45:57.297 回答