簡単なシナリオ:
1. クライアントが私の Web サイトにログインしたいと考えています。彼はhttp://mywebsite.comにアクセス
します。 2. ユーザー/パスをフィードして送信します。
3. に行きhttpsます。
質問:クライアント側で JavaScript を使用してユーザー/パスを暗号化しない
ことは、どの程度安全ではありませんか?
これは、ユーザー/パスがそのままネットワーク上に送信されることを意味します。
誰かがそれらをどのように拾うことができますか?
そして、誰かがそれらを拾うことができる場合、暗号化することをお勧めしますか?
もしそうなら、これを行うための推奨される方法は何ですか?
ありがとう!
フォームの投稿先のアクションが HTTPS の場合、投稿はトランスポート層で暗号化する必要があります。JavaScript を使用して暗号化する必要はありません。実際、JavaScript を使用してパスワードを暗号化した場合、攻撃者がその JavaScript を取り除いて資格情報が暗号化されずに送信されるのは簡単なことです。
皆さんと同じように、サーバーではHTTPSのみを使用することをお勧めします。しかし、私は自分の銀行のページのソースコードを調べていました...そして、送信する前にフィールドで暗号化を使用していることに気付きました。たとえば、JavaScriptのみを使用してアカウントの番号とパスワードを「非表示」にします。プロトコルSLL/TLS(TCPとHTTPSの間のレイヤー)は、データがマシンを離れるときに「セキュリティ」を提供するため、一部のシナリオでは「セキュリティ」を回避することが有効だと思います。ただし、SOが何かに感染している場合は、運用システムがTLS / SLLを使用する前に、この「もの」がブラウザの出力によって生成されたネットワークトラフィックを「分析」できる可能性があります。
とにかく、誰かが興味を持っているなら、クリプトグラフィーを行うためのJavascriptのライブラリがあります!
たとえば、これは次のとおりです。
http://crypto.stanford.edu/sjcl/
私の答えは、悪意のあるソフトウェアがブラウザと運用システム間のトラフィックを理解できるようにすることに焦点が当てられていることを示しようとしています。