简单场景:
1.我的客户想登录我的网站。他去了http://mywebsite.com
2.他的用户/通过和提交的饲料。
3.我们前往https。
问题:
在客户端使用javascript对 NOT 加密用户/通行证有多不安全?
这意味着用户/通行证将按原样发送到网络上
有人怎么能接他们?
如果有人可以拿起它们,建议加密吗?
如果是这样,建议的方法是什么,这可能是无痛的?
谢谢!
答案 0 :(得分:3)
如果您的表单发布到的操作是HTTPS,则应在传输层中对其发布进行加密。没有必要使用javascript加密。实际上,如果您确实使用javascript来加密密码,那么攻击者就可以删除该javascript,以便在未加密的情况下发送凭据。
答案 1 :(得分:0)
与所有人一样,我建议您在服务器中仅使用HTTPS。但是,我正在寻找我银行页面的源代码......我注意到他们在发送之前在字段中使用了伪像,例如,仅使用javascript“隐藏”帐户的号码和密码。我认为在某些情况下避免“不安全”是有效的,因为协议SLL / TLS(TCP和HTTPS之间的层)在数据离开您的机器时提供“安全性”。但是,如果你的SO被某些东西感染了,那么在操作系统使用TLS / SLL之前,这个“东西”可能会“分析”浏览器输出产生的网络流量。
无论如何,如果有人感兴趣,Javascript中有一些库可以做伪像!
例如,这一个:
http://crypto.stanford.edu/sjcl/
我的回答是试图表明有一个重点是防止恶意软件能够理解浏览器和操作系统之间的流量。