我正在构建一个游戏,玩家可以根据标准方案创建帐户。但是,我想完全依赖于Javascript,无论是在服务器端(Node.js)还是在客户端。
我与服务器通信的主要方式通常是Socket.io,我想用明文发送密码不是一个好主意 - 但我不知道为什么!我的意思是,有人可以嗅到交通或其他东西吗?这究竟是怎么发生的?最重要的是,这个问题的解决方案是什么?
我知道我需要在服务器端将密码保存为哈希值。
答案 0 :(得分:2)
use HTTPS的简短回答是creating your own SSL certificate。
即使GMail在2008年之前也没有选择use HTTPS all the time。我常常惊讶于我们仍然不关心安全性。
说到这些,请将哈希密码加盐。腌制很容易......选择一个词,任何一个词。将其附加到密码并哈希。 (即SHA1(密码.mysalt))一些人有some trouble with that recently。添加一点盐将至少防止轻微的彩虹攻击。