Tôi hiện đang làm việc trên một nhà cung cấp PHP OpenID sẽ hoạt động qua HTTPS (do đó được mã hóa SSL).
Có phải sai để tôi truyền mật khẩu dưới dạng văn bản thuần túy không? HTTPS trong lý thuyết, không thể bị chặn, vì vậy tôi không thấy bất cứ điều gì sai trái. Hoặc điều này không an toàn ở một mức độ nào đó và tôi không thấy điều này?Mật khẩu văn bản thuần túy qua HTTPS
Trả lời
Nó an toàn. Đó là cách toàn bộ web hoạt động. Tất cả mật khẩu trong biểu mẫu luôn được gửi dưới dạng văn bản thuần túy, do đó, tối đa HTTPS để bảo mật.
Nếu HTTP bị tắt và bạn chỉ sử dụng HTTPS, thì bạn vẫn chưa thực sự truyền mật khẩu dưới dạng văn bản thuần túy.
Bạn vẫn cần phải đảm bảo gửi nó qua yêu cầu POST chứ không phải GET. Nếu bạn gửi nó qua yêu cầu GET, nó có thể được lưu trong bản rõ trong nhật ký lịch sử trình duyệt của người dùng hoặc nhật ký truy cập của máy chủ web.
Vâng, tôi biết điều đó, nhưng nó vẫn là một bình luận tốt để bỏ lại cho những người khác đến đây. :) – WhyNotHugo
Các áp phích khác là chính xác. Bây giờ bạn đang sử dụng SSL để mã hóa truyền của mật khẩu, hãy chắc chắn bạn đang băm nó với một thuật toán tốt và muối vì vậy nó được bảo vệ khi nó nghỉ ngơi, quá ...
Vâng, tôi nhận ra điều này, cảm ơn, tôi chỉ đề cập đến việc truyền tải ở đây. – WhyNotHugo
Hash khách hàng bên. Tại sao? Hãy để tôi cho bạn biết về một thử nghiệm nhỏ. Đi bộ đến máy tính trong quán cà phê của công ty. Mở trình duyệt tới trang đăng nhập trang web của công ty (https). Nhấn F12, nhấp vào tab mạng, kiểm tra nhật ký lưu giữ, giảm thiểu giao diện điều khiển nhưng để trang web mở trang đăng nhập. Ngồi xuống và ăn trưa. Xem như nhân viên sau khi nhân viên đăng nhập vào trang web của công ty và trở thành một công nhân giỏi khi đăng xuất. Kết thúc bữa ăn trưa, ngồi xuống máy tính đưa lên tab mạng và xem từng tên người dùng và mật khẩu trong văn bản thuần túy trong thân hình.
Không có công cụ đặc biệt, không có kiến thức đặc biệt, không có phần cứng hacking ưa thích, không có keyloggers chỉ tốt cũ F12.
Nhưng này, hãy suy nghĩ tất cả những gì bạn cần là SSL. Những kẻ xấu sẽ yêu bạn vì điều đó.
Nhận xét về nhà ăn của bạn không có ý nghĩa gì, cho dù tôi đọc lại bao nhiêu. Tại sao mọi người chỉ cần đi đến một máy tính và nhập thông tin đăng nhập của họ? Bạn đang cố chứng tỏ điều gì vậy? Ngoài ra, băm sẽ không làm điều này * nhiều hơn nữa * không an toàn, theo bất kỳ cách nào. Đó là một điều phổ biến để băm mật khẩu và truyền chúng qua HTTP thuần văn bản khi câu hỏi này được viết, vào năm 2009. – WhyNotHugo
Tôi upvoted cả hai vì, có, câu trả lời được chấp nhận _is_ được đọc nhiều năm sau đó. Nó sẽ là tốt nếu @CodeDog xin vui lòng chỉ đến một số chiến lược giảm nhẹ. Và có, mọi người sẽ chỉ cần đi bộ đến máy tính ngẫu nhiên, ví dụ, trong thư viện địa phương, và nhập chi tiết của họ! – JoeAC
Tôi mã hóa phía máy khách mật khẩu bằng khóa công khai, sau đó chỉ đăng mật khẩu được mã hóa trong biểu mẫu. Nó là một chìa khóa không đối xứng vì vậy có chìa khóa công cộng phía khách hàng là vô ích cho những kẻ tấn công. Mỗi bản ghi nó tạo ra một cặp khóa mới để các cuộc tấn công phát lại sẽ không hoạt động. Phím thậm chí còn thay đổi khi đăng nhập không thành công. Các cặp khóa được tạo phía máy chủ khi người dùng đến màn hình đăng nhập. Chỉ có khóa công khai được cung cấp cho mã phía máy khách. – CodeDog
- 1. SSH: Khi đăng nhập, mật khẩu có phải là văn bản thuần túy/sniffable không?
- 2. Ngăn không cho Facebook Android SDK hiển thị mật khẩu dưới dạng văn bản thuần túy
- 3. Symfony2 $ user-> setPassword() cập nhật mật khẩu dưới dạng văn bản thuần túy [DataFixtures + FOSUserBundle]
- 4. SampleSyncAdapter lưu trữ mật khẩu thuần văn bản?
- 5. Biến NSAttributedString thành văn bản thuần túy
- 6. Gửi email văn bản thuần túy bằng PHPMailer
- 7. Hiển thị vcard php dưới dạng văn bản thuần túy
- 8. HTML tới văn bản thuần túy (cho email)
- 9. RTF đến Văn bản thuần túy trong Java
- 10. Làm cách nào để chèn văn bản thuần túy?
- 11. Cách chuyển đổi reStructuredText thành văn bản thuần túy
- 12. Hiển thị văn bản thuần túy trong ứng dụng Android
- 13. Chuyển đổi ASCII thành văn bản thuần túy trong PHP
- 14. Đánh dấu xuống văn bản thuần túy trong Ruby?
- 15. Làm cách nào để gửi mật khẩu thuần văn bản bằng AJAX?
- 16. Ngắt dòng bị bỏ qua khi gửi thư dưới dạng văn bản thuần túy
- 17. NodeJS: Tải văn bản thuần túy lên s3 qua Knox và tôi nhận statusCode = 505?
- 18. Gửi mật khẩu qua web
- 19. Phiên bản byte thuần túy của strstr?
- 20. Có bao giờ ok để lưu trữ mật khẩu trong văn bản thuần túy trong một biến php hoặc liên tục php?
- 21. Tôi có thể lập trình đăng nhập vào một trang web mà không lưu trữ mật khẩu trong văn bản thuần túy không?
- 22. python chuyển đổi tài liệu văn phòng microsoft sang văn bản thuần túy trên linux
- 23. Nhận văn bản thuần tuý từ văn bản RTF
- 24. Có ổn không khi thông tin đăng nhập cơ sở dữ liệu được lưu trữ trong văn bản thuần túy?
- 25. javax.net.ssl.SSLException: Thông báo SSL không được nhận dạng, kết nối văn bản thuần túy?
- 26. Làm thế nào để chuyển đổi mật khẩu văn bản để băm mật khẩu trong wordpress
- 27. Tại sao giao thức HTTP được thiết kế theo cách văn bản thuần túy?
- 28. Cách tốt nhất để lưu trữ mật khẩu trong cơ sở dữ liệu khi cuộc gọi API yêu cầu gửi mật khẩu bằng văn bản thuần túy là gì?
- 29. mật khẩu hudson git https, làm cách nào để chỉ định mật khẩu?
- 30. EWS văn bản thuần cơ thể
Nitrat nhỏ: một số biểu mẫu đăng nhập sử dụng JavaScript để băm mật khẩu thay vì gửi văn bản thuần túy. – Thorarin
@Thorarin nếu họ thực sự băm nó, điều đó có nghĩa là máy chủ lưu trữ mật khẩu ở dạng văn bản thuần túy để nó có thể băm với cùng một muối để xác minh. Ick! Gửi mật khẩu trong ssl gói văn bản là tốt hơn, như máy chủ không sau đó cần phải lưu trữ mật khẩu trong văn bản thuần túy. – DGM
@DGM: băm kép cũng là một tùy chọn, vì vậy mật khẩu thuần văn bản không cần thiết. – Thorarin