私のプログラムは SSL 経由で Web ページにリクエストを送信し、ヘッダー (https://example.com/index.php?clientid=xxxx?spcode=xxxx) には、有効なクライアントであるかどうかを判断するために使用されるマネージャー パスワードがあります。大量のデータを送信する前に、私のシステム。
悪意のある従業員がローカル SSL データをスヌーピングしてこのパスワードを入手した場合、注文番号を推測できれば (難しいことではありませんが)、送受信されるクライアントの注文をいじることができる可能性があります。
システムで誰かのパスワードを保護するために bcrypt を使用する方法を知っています。しかし、他の誰かがシステムを使用しているときに、誰かのパスワードを保護するにはどうすればよいでしょうか?
あなたのソルトを暴露する危険を冒して、事前にハッシュされたパスワードを送信するべきではないことを私は知っています. 一時的な送信ハッシュのソフトを使用する必要があります(DBに保存するものとは異なります)。これは最善の方法ではないと思うので、皆さんに助けを求めています。Stack Exchange で素晴らしいヒントを見つけました。
皆様、どうぞよろしくお願いいたします。あなたの考えを楽しみにしています。