6

私の国の政府は、HTTPS の速度を制限して、イラン国外の安全な Web サービスへのアクセスをブロックしています。現在、私のクライアントはアカウントへのログインに苦しんでいます。現在のアカウントのパスワードはアルゴリズムを使用して暗号化およびソルト化されておりpbkdf2_sha256、sha256 ハッシュをダイジェストするための javascript/jQuery ライブラリがいくつかあることを知っています。

django.contrib.auth私の質問: AJAX リクエストによって送信された sha256 ハッシュをログイン パスワードとして使用する簡単な方法 (オリジナルの書き換え/変更を必要としない) はありますか?

更新:イラン国内でサイトをホストする予定です (イランは 5 倍の費用がかかり、もちろん政府によって管理されています) が、少なくとも HTTPS プロトコルは制限されていません。いずれにせよ、HTTP チャネルを介して平文またはダイジェストされた方法でパスワードを送信することは安全ではありません。Web 開発者 (およびネットワークの専門家ではない) として、ハッシュ/セッション ID/Cookie をいつでも収集/盗聴できると思いますが、問題を解決するには高度な知識と努力が必要であり、結局のところ、私のサイトはそのレベルのセキュリティを必要としません。 . 私たちは異なる惑星に住んでいます。

4

1 に答える 1