0

SSLなしのWebサイト用のWebログインシステムを構築しているので、実装は次
のとおりです。サーバーに、生のユーザー名とpass_hashed(sha1(password)でハッシュ)の2つのフィールドを持つテーブルがあります。ユーザーがシステムにログインするたびに、私は次のことを行います。

  1. キーを生成します。
  2. password_hashed = sha1(キー + sha1(パスワード))
  3. 3 つの値を送信: ユーザー名、キー、password_hashed

サーバー側では:

  1. キーがデータベースに保存されているかどうかを確認し、保存されている場合はログインを無効にし、そうでない場合はキーをデータベースに保存します。
  2. ユーザー名に基づいてユーザー情報を照会し、sha1(key + pass_hased) と password_hashed を比較します。

私の質問は私の方法は大丈夫ですか?はいの場合、キーをタイムスタンプとして使用できますか?

4

3 に答える 3

0

他のユーザーが示唆したように、実装したシステムは安全ではなく、セキュリティの問題が発生する可能性があります. お客様の情報を収集する場合は、SSL 証明書を使用する必要があります。それ以上かかることはありません。最低$7からスタート!!

于 2013-05-13T06:45:48.727 に答える
0

あなたのソリューションは何もないよりはましですが、最終的には欠陥があります。これは、ユーザーの登録プロセス中のある時点で、情報の一部のみを送信する必要があるためです。その時点でネットワーク経由で情報が取得された場合、後でログインを繰り返すことができます。

SSLが本当に必要です。

于 2013-05-13T04:44:24.857 に答える
0

はい、組み合わせは問題ないようです。キーの生成にタイムスタンプを使用しますか?

その場合は、それから始めることができますが、セキュリティを高めるのに役立つさまざまな組み合わせを試してください.

于 2013-05-13T03:30:01.977 に答える