1

我想知道我是否有这样的网络服务:

Login(username, password)

或类似的页面

login.aspx?u=username&p=pass

如果他们是从桌面应用程序调用的,那会更安全。从我读过的内容中,嗅探器可以读取请求并找出 url。我在将密码放入请求之前对密码进行哈希处理,但是如果有人看到带有参数/查询字符串的请求 url,那么他们可以使用相同的值发出请求!?

嗅探器找出散列密码的难易程度如何?我应该在将密码和用户名放入 url 和 Web 服务之前加密吗?我还有其他选择吗?

我问是因为数据不是那么敏感,但基本的安全性应该以最低的性能成本存在

注意:SSL 不是一个选项

4

3 回答 3

1

只需使用 HTTPS 加密通道。这样你就不用担心嗅探器了。

于 2010-08-29T21:22:05.363 回答
1

使用 SSL 通过登录服务创建唯一的会话令牌。其余部分使用标准 HTTP 上的会话令牌。

您的登录会话需要将用户名/密码作为 POST,否则这些值将在对服务器的 URL 请求中可见,并可能在网络上进行窥探。

于 2011-01-10T21:21:44.047 回答
0

如果您与银行合作,您可能必须使用 SSL。检查您当地的立法 - 我认为这也将确定什么是敏感数据。

于 2011-01-16T15:42:16.470 回答