0

GWTアプリケーションでは、ログインシステムを構築しています。

サーバー側にBCryptを実装しました。My Userクラスは、データを保護するためにサーバー側にのみ存在します。私は次の仮定をしましたが、それらが正しいかどうかはわかりません。

  • クライアント側のjavaはjavascriptに変換されるため、パスワードの内容は読み取り可能になるため、クライアント側の変数に保存しないでください。
  • 同じ理由で、すでにハッシュされているサーバーに送信する必要があります。
  • Userクラスのプロパティをソースコードから読み取り/派生させたくないので、Userクラスを共有にしないでください。

多くの例を見てきましたが、サーバーに送信する前にパスワードを暗号化するものはありません。これは安全ですか?

4

2 に答える 2

1

パスワードをサーバーに送信する前にハッシュしても、何も証明されません。(おそらく、同じパスワードを使用している他のシステムで侵害されているユーザーフォームを保護することを除いて。)

攻撃者がクライアントからサーバーに送信するものを持っている場合、それがクリアテキスト、ハッシュ、量子脳波のいずれであっても、攻撃者はシステムにアクセスするために必要なものを持っています。

機密情報は暗号化されたソケットを介して送信する必要があります。そうすれば、自分でどのようにエンコードするかは問題になりません。

于 2012-11-20T20:34:38.410 に答える
1

HTTPSなどの安全なチャネルを使用している限り、暗号化されていないパスワードをサーバーに送信しても安全です。

パフォーマンス上の理由から、同じユーザーオブジェクトを(パスワードを保存せずに)メモリに保持することもできます。サーバー側で常に検証するようにしてください。クライアントから提供されたユーザー情報を絶対に信用しないでください。

于 2012-11-20T20:23:19.393 に答える