我的服务器配置了https。但是所有凭据都缓存在RAM(客户机)中。
如果我们拥有客户端计算机的IP地址,我们可以轻松获取存储在RAM中的用户凭据。我知道除非您关闭/重启客户端计算机,否则RAM不会被清除。
如何停止在RAM中缓存凭据?
答案 0 :(得分:1)
运行Web服务器时,您可以从客户端计算机上的Chrome浏览器,Safari或Internet Explorer等Web浏览器接受连接。当您的客户端通过https连接时,浏览器发送给您的信息以及您发送回该浏览器的信息在传输过程中会被加密隐藏。
用户将用户名和密码提供给浏览器软件中的对话框,然后管理其传输(加密)到您的服务器。浏览器确实存储了未加密的用户名和密码。它需要这样做,因为BASIC身份验证要求服务器的每个请求都携带(加密的)用户名/密码对。
如果用户在开机时失去对机器的控制权,那么坏人确实可以发现密码。
浏览器软件在退出时从RAM中擦除密码。大多数商业浏览器软件包在退出之前都会清除RAM。
如果您要创建专用浏览器(特殊用途的https客户端软件包),您可能希望也这样做。
您的担忧是有效的:这是病毒和其他恶意软件存在这种危害的一个原因。但是,如果您是普通的Web开发人员,除了建议您的用户安装和维护防病毒软件之外,您无法对此客户端风险做任何事情。