我正在尝试使用 FLEX 和 AMFPHP 创建一个相当简单的用户身份验证系统,但我有一个关于安全性的问题。
我看到的大多数示例都将纯文本用户名/密码发送到 php 文件,该文件对其进行加密,并将它们发送到数据库以进行检查或保存......我是否遗漏了什么或正在以纯文本形式发送您的用户名/密码让黑客拦截电话并从您的请求中提取信息?来自 FLEX 的请求会被拦截吗?还是在服务器端“闭门造车”?
问问题
703 次
3 回答
0
您可以在客户端对密码进行哈希处理并将其发送到服务器,但您必须知道有人可以在客户端找到您的哈希算法。如果您尝试对新手犯规,则散列操作可能会起作用。但是如果你认为黑客不是什么菜鸟,我认为你甚至不应该打扰哈希并直接使用HTTPS。
加载之前嵌套的另一个 swf 并不能解决您的问题。浏览器不能有效地保护缓存在内存中的文件,黑客仍然可以找到你试图隐藏的文件。
于 2014-01-11T22:20:51.370 回答
0
你是对的。在客户端上对密码进行哈希处理,然后将其发送到服务器。
于 2011-03-11T06:56:38.453 回答
0
Alternatively, you could just force an HTTPS connection for your login page. That way, the password will be encrypted on the wire to the PHP server, but still available in plaintext to PHP so it can manage the hashing.
于 2011-12-21T21:51:42.570 回答