0

私のプログラムは SSL 経由で Web ページにリクエストを送信し、ヘッダー (https://example.com/index.php?clientid=xxxx?spcode=xxxx) には、有効なクライアントであるかどうかを判断するために使用されるマネージャー パスワードがあります。大量のデータを送信する前に、私のシステム。

悪意のある従業員がローカル SSL データをスヌーピングしてこのパスワードを入手した場合、注文番号を推測できれば (難しいことではありませんが)、送受信されるクライアントの注文をいじることができる可能性があります。

システムで誰かのパスワードを保護するために bcrypt を使用する方法を知っています。しかし、他の誰かがシステムを使用しているときに、誰かのパスワードを保護するにはどうすればよいでしょうか?

あなたのソルトを暴露する危険を冒して、事前にハッシュされたパスワードを送信するべきではないことを私は知っています. 一時的な送信ハッシュのソフトを使用する必要があります(DBに保存するものとは異なります)。これは最善の方法ではないと思うので、皆さんに助けを求めています。Stack Exchange で素晴らしいヒントを見つけました。

皆様、どうぞよろしくお願いいたします。あなたの考えを楽しみにしています。

4

1 に答える 1

5

SSL でのスヌーピングは、中間者によってのみ行うことができ、それは検出されます。

フィドラーでこれを行った場合、ブラウザーが証明書について不平を言うことでどのように反応するかを考えてみてください。もちろん、あなたはあなたをスパイしないと信じているので、大丈夫です!

同様に、正しい証明書を持つサーバーを扱っていないことがわかります。アプリが他の証明書の処理を拒否した場合、SSL 接続の確立が許可されず、スヌーピングは行われません。

ただし、RFC 2617、NTLM などに従って、認証ヘッダーでパスワードを送信することをお勧めします。特に、後で同じシステム上でサーバーからブラウザーへの移行も行うようになり、それらをアドレスバーからスヌープ可能にしたくない場合は特にそうです。

編集:アプリの記述内容によっては、デバッグ目的で一時的にスヌーピングが許可される可能性があり、よりトリッキーであることがわかります!

于 2012-08-30T20:31:09.003 に答える