我认识的一家公司正在讨论加强其所有 Web 应用程序产品的密码安全策略。
现在,他们正在通过 HTTP 以 POST 形式发送用户名/密码验证,因此,它们是以明文形式发送的。
解决这个问题的最简单方法就是在我们所有的应用程序中都要求使用 HTTPS 登录,对吗?
好吧,有一些内部讨论是关于对密码进行某种滚动我们自己的客户端加密(密码+盐等)。
是否有公认的仅限 HTTP 的解决方案?
意见就像......好吧,每个人都有自己的意见,所以我正在寻找可以支持您的建议的可信安全文献。不要只是谷歌,然后把我发到一篇博客文章……我已经这样做了,而且做得更进一步。
我找到了 OWASP 的建议: http ://www.owasp.org/index.php/Top_10_2007-A7#Protection
以及微软的:http: //msdn.microsoft.com/en-us/library/aa302420.aspx
编辑:给出使用 SSL 的建议是不够的。我需要某种支持文件。我知道滚动我们自己的客户端加密是不好的。我需要能够可靠地把它卖给同事和管理层。
此外,还提到了 HTTP Digest。看起来不错,但 Digest 仅用于 HTTP 身份验证,不适用于通过 POST 发送的数据。