0

最近、ログイン中にユーザー名とパスワードを投稿するためにMD5ハッシュを使用するプロジェクトに出くわしました。しかし、少し奇妙なことに、アプレットとJavaScriptの両方をハッシュに使用しました。たとえば、アプレットがない場合はJavaScriptを使用します。動作します。

コードは次のとおりです。

var username=document.getElementById('username');
var password=document.getElementById('password');
try { 
    encUsername = appletObject.encryptMessage(username);
    encPassword = appletObject.encryptMessage(password);
} catch (e) { 
    encUsername = hex_md5(username);
    encPassword = hex_md5(password);
}
//post encUsername & encPassword for validation
  1. この方法は、JSとアプレットのブラウザの互換性のためにのみ使用されますか、それともMD5ハッシュのJavaScriptよりもアプレットの利点がありますか?
  2. このシナリオでアプレットにセキュリティ上の利点はありますか?
4

1 に答える 1

2

クライアント側でパスワードとユーザー名 (?) をハッシュしても、セキュリティ上の目的はありません。ハッシュされたパスワードをサーバーに保存する最大の利点は、パスワード データベースが侵害された場合に、実際の有効なパスワードが漏洩しないことです。ただし、パスワードがクライアント側でハッシュされると、そのハッシュは事実上パスワードになります。パスワードはサーバーに平文で保存されるため、セキュリティ上の利点はありません。

アプレットの使用に関しては、アプレットの実装が何であるかはわかりませんが、組み込み関数を使用することによる追加の利点はないようです。

于 2012-09-19T06:06:31.373 に答える