1

次のようなWebサービスがあるかどうか疑問に思っています。

Login(username, password)

または次のようなページ

login.aspx?u=username&p=pass

それらがデスクトップ アプリから呼び出された場合、より安全になります。私が読んだことから、スニファーはリクエストを読み取ってURLを把握できます。リクエストにパスワードを入れる前にパスワードをハッシュしていますが、誰かが params/query 文字列を含むリクエスト URL を見た場合、同じ値でリクエストを行うことができます!?

スニファがハッシュ化されたパスワードを割り出すのはどのくらい簡単ですか? パスワードとユーザー名を URL と Web サービスに入れる前に暗号化する必要がありますか? 他に選択肢はありますか?

データはそれほど機密ではありませんが、最小限のパフォーマンス コストで基本的なセキュリティが存在する必要があるため、質問しています。

注: SSL はオプションではありません

4

3 に答える 3

1

SSL を使用して、ログイン サービスを介して一意のセッション トークンを作成します。残りの部分については、標準の HTTP 経由でそのセッション トークンを使用します。

ログイン セッションでは、ユーザー名/パスワードを POST として取得する必要があります。そうしないと、値がサーバーへの URL 要求に表示され、ネットワーク上でスヌーピングされる可能性があります。

于 2011-01-10T21:21:44.047 に答える
1

HTTPS を使用してチャネルを暗号化するだけです。そうすれば、スニファについて心配する必要はありません。

于 2010-08-29T21:22:05.363 に答える
0

銀行と取引している場合、SSL の使用が義務付けられる場合があります。お住まいの地域の法律を確認してください。これにより、機密データとは何かが決まると思います。

于 2011-01-16T15:42:16.470 に答える