安全なログインを作成したいので、パスワードを暗号化してから POST パラメータとして送信したいと考えています。私はSHA1 JavaScript関数でそれをやっています。
そして、誰かが暗号化されたパスワードを傍受した場合、すぐに使用できることに気付きました。投稿パラメーターとして同じ URL を送信します。
パスワードがログイン入力フィールドからのものであることを確認するにはどうすればよいですか? 多分PHPセッションで?安全な http はまだ使用したくありません。誰もが簡単な代替手段を持っていますか?
SHA1 パスワードをネット経由でサーバーに送信すると、事実上、SHA1 が実際のパスワードをハッシュします。
利点がないだけでなく、実際にはセキュリティを悪化させています。SHA1 ハッシュを使用してデータベースを盗んだ場合、「実際の」パスワードを取得するためにハッシュをブルート フォースする必要なく、それらを使用して直接ログインできるようになりました。
HTTPS は、パスワードがプレーン テキストで送信されるのを防ぐ唯一の方法です。また、HTTPS に移行する際は、これらの SHA1 ハッシュを bcrypt に変更してください。
余分な SSL 証明書のコストが心配な場合は、自己署名証明書を生成することもできます。ブラウザーのエラーが心配でない場合、または信頼できるリストに証明書を追加する意思がある場合 ( http://resources.arcgis.com /en/help/main/10.1/index.html#//0154000005q6000000 )。