1

私は、特にiosと組み合わせた認証/ SSLに非常に慣れていません。私の質問は、ユーザー名とパスワードを送信https://server.com/login.phpして、iOS クライアントでパスワードをハッシュする必要があるか、またはパスワードのテキストを投稿して、DB に保存する前にハッシュすることができるかということです。

4

2 に答える 2

3

Hash them beforehand for sure! Sure you're using https, but it's a best practice to never send sensitive information in plain text if you can help it.

于 2012-06-22T20:20:39.163 に答える
1

ハッシュまたは平文パスワードの送信は、基本的に同じ問題です。

攻撃者がクライアントとサーバー間の接続からデータを取得できる場合、攻撃者は後でハッシュまたはクリアテキストのパスワードをサーバーに送信することで、クライアントになりすまして自分自身を認証できます。

重要なポイントは、クライアントとサーバー間の通信を暗号化する HTTPS を使用することです。これにより、クライアントがサービスに送信するデータ (ハッシュまたはパスワード) を攻撃者が傍受できなくなります。

そうは言っても、パスワードをハッシュ化することはクライアントにとって良い習慣であり、誰も実際のユーザーパスワードを知ることはありません (クライアントが使いやすさのためにメモリにハッシュを保存する場合でも、平文のパスワードをどこにも保存しないでください)。

于 2012-09-26T10:54:52.757 に答える