问题标签 [srp-protocol]

问问题

For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.

34 问题

0 投票

4 回答

3195 浏览

security - 浏览器中的 TLS/SRP？

在任何主要浏览器中是否有 RFC 5054 的计划或现有实现？

如果还没有实现，那么哪些主要浏览器在他们的路线图上有它？在哪里？

security srp-protocol

0 投票

2 回答

685 浏览

algorithm - 为什么 SRP 不是明文等效的？

关于 SRP 协议： http ://en.wikipedia.org/wiki/Secure_remote_password_protocol

我可以看到会话密钥 (K) 的生成是非常安全的，但是在最后一步中，用户发送了 K (M) 的证明。如果网络不安全并且中间的攻击者捕获了 M，他将能够在没有 K 的情况下进行身份验证。对吗？

0 投票

2 回答

1886 浏览

java - 应用程序级别的安全远程密码协议

我正在编写一个 Java EE 应用程序，它允许新用户自己注册，然后通过 Internet 登录。我将凭据存储在一个数据库中。

现在，有几种方法可以做到这一点，例如：

发送用户名和密码，最好通过 TLS/SSL 连接
发送用户名和密码的哈希码，最好通过 TLS/SSL 连接
使用安全远程密码协议（最好通过 TLS/SSL 连接？）

阅读一些文章，似乎安全远程密码协议（SRP）是要走的路。

但是随后阅读其他一些文章，似乎这仅用于某些低级层，例如 TLS/SSL 本身。

我仍然认为，建议在应用程序级别使用安全远程密码协议。

这个对吗？还是有一些很好的理由说明应用程序级别不需要这样做？

java jakarta-ee security srp-protocol

0 投票

2 回答

113 浏览

javascript - 是否可以在中转时修改服务器回复

我正在构建一个 javascript 库，它允许使用 SRP-6 协议对服务器进行身份验证。

我知道由于 XSS，使用 javascript 作为身份验证方法不是最佳选择。但是适当的 XSS 预防可以消除大多数问题。

我唯一关心的是在用户收到请求之前修改服务器回复有多容易？

示例场景：

用户请求页面：http://serverdomain/home

服务器：回复：

在用户收到回复之前。黑客能否以某种方式神奇地修改回复

这可能吗？这是我在使用 javascript 进行身份验证时能想到的漏洞之一。

javascript security srp-protocol

0 投票

2 回答

461 浏览

c# - C# BigIntegers 获得正数 modPow

我正在尝试实施 SRP 协议以进行安全身份验证。我的问题是，当我必须计算一个负数的 ModPow 时，它也会返回一个负数。我知道它可能被称为余数而不是模数，但我真的必须得到正模数才能生成正确的散列。

我怎么能那样做？

c#.net math srp-protocol

0 投票

3 回答

1337 浏览

javascript - Browser-Based SRP without Java

I am considering implementing the Secure Remote Password protocol to conduct a zero-knowledge password proof between the browser and my web application. The SRP website provides an example, but it requires java to perform calculations. I am wondering whether it is possible to implement SRP using javascript without the use of Java, as I do not want to require my users to have Java installed, particularly as my audience will be a security conscious one which would potentially consider the risk of having the java plugin enabled a greater risk to their security than a zero-knowledge password proof.

Here is the link to their demo: http://srp.stanford.edu/demo/

javascript html cryptography srp-protocol

0 投票

0 回答

655 浏览