提交非明文密码
Submit Password Not In Clear Text
我有这个登录网页,我正在使用 PrimeFaces 进行开发。
因此,当我输入密码并通过网络提交时,我的 firebug(Firefox 扩展)实际上可以以明文形式捕获我的密码。这意味着我的密码是通过网络以明文形式传输的。
如果我错了请纠正我。那么如何在点击提交按钮时不让密码不明文传输呢?
如果您的应用程序的 URL 与 Web 服务器建立 SSL 连接,那么包括密码在内的任何信息都将以加密文本或纯文本的形式传输。如果它不是 SSL,那么您可以在发送密码进行身份验证之前尝试在客户端加密您的密码。
通过启用 HTTPS,即 HTTP 的 TLS,基本上是 SSL 的更新版本,您发送的数据将被加密。这是通过让服务器和客户端在发送任何数据之前协商加密方法并执行密钥交换来实现的。
此外,您不想散列 密码客户端,因为这意味着您基本上是以明文形式存储密码。但是,在服务器上,您可能希望对密码进行散列和加盐,这意味着您首先向其添加一个随机 salt,然后可以将其与用户名和密码一起存储,并且然后你散列整个东西 - 散列(密码+盐)。散列是为了确保您不会在服务器上以明文形式存储密码,加盐是为了确保没有人可以看到重复使用的密码,并抵御彩虹 table 攻击。
我有这个登录网页,我正在使用 PrimeFaces 进行开发。
因此,当我输入密码并通过网络提交时,我的 firebug(Firefox 扩展)实际上可以以明文形式捕获我的密码。这意味着我的密码是通过网络以明文形式传输的。
如果我错了请纠正我。那么如何在点击提交按钮时不让密码不明文传输呢?
如果您的应用程序的 URL 与 Web 服务器建立 SSL 连接,那么包括密码在内的任何信息都将以加密文本或纯文本的形式传输。如果它不是 SSL,那么您可以在发送密码进行身份验证之前尝试在客户端加密您的密码。
通过启用 HTTPS,即 HTTP 的 TLS,基本上是 SSL 的更新版本,您发送的数据将被加密。这是通过让服务器和客户端在发送任何数据之前协商加密方法并执行密钥交换来实现的。
此外,您不想散列 密码客户端,因为这意味着您基本上是以明文形式存储密码。但是,在服务器上,您可能希望对密码进行散列和加盐,这意味着您首先向其添加一个随机 salt,然后可以将其与用户名和密码一起存储,并且然后你散列整个东西 - 散列(密码+盐)。散列是为了确保您不会在服务器上以明文形式存储密码,加盐是为了确保没有人可以看到重复使用的密码,并抵御彩虹 table 攻击。