私は実際にモデルを保存しないフォームを持っているので、フォームをPOSTすると、電子メールとパスワードがありますが、どういうわけか自分のパスワードを他の人に公開したくありません。このconfig.filter_parametersを実行して、ログをフィルタリングしました
しかし、POSTしてブラウザをチェックすると、パスワードのプレーンテキストがまだ残っています。送信時にパラメータを暗号化する適切な方法はありますか。ブラウザで検査すると、ハッシュまたは暗号化されたものが表示されます。
ああ、SSLも使わない方法を意味しました>。<
SSLを使用できない場合は、安全を確保できません。
ネットワーク経由でパスワードを送信する前にJSで秘密鍵/公開鍵の暗号化を行ったとしても、クライアントに送信するときに暗号化JSコードが危険にさらされていないことを信頼することはできません。結局のところ、ネットワークの脆弱性が心配なので、暗号化する必要があります。
もちろん、安全でないプロトコルでJS暗号化を使用して、セキュリティの錯覚を与えることもできます。公平を期すために、このシナリオでパスワードを侵害する攻撃は、単純なネットワークスニッフィングよりも高度である必要があります。
このトピックに関するすばらしい記事はここにあります:http://www.matasano.com/articles/javascript-cryptography/