1

現在、Web サイトで作業しており、別のページにログインするようにログイン ボックスをコーディングしました (例: www.domain.com のログイン ボックスで subdomain.domain.com にログインする)。

サブドメインは HTTPS を使用しますが、現時点ではドメインは使用しません。

私の質問は、プレーンテキストの使用を避けるためにパスワードをハッシュしてサブドメインに送信する必要がありますか、または POST 要求を使用するときにドメインにも HTTPS を使用するように要求する必要がありますか?

4

1 に答える 1

1

クライアント側でパスワードをハッシュしても、攻撃者が「サーバーに送信するもの」を盗聴して複製するのを止めることはできません。そうしないでください。

SSL を使用すると、クライアントとサーバー間の通信が暗号化されます。これを行う。

SSL を使用せずにフォームをユーザーに提供すると、中間者攻撃に対して脆弱になります (たとえば、フォームが安全に送信される前に、入力時にパスワードを盗む JavaScript が追加される可能性があります)。そうしないでください。

ユーザーがログインしたい場合は、資格情報の入力を求めるに、安全なサイトにリダイレクトしてください。

于 2013-01-30T11:54:06.760 に答える