我可以阻止本地用户窥探包含管理员密码的HTTPS标头吗?

时间:2012-08-30 20:22:07

标签: security hash https passwords bcrypt

我的程序通过SSL向网页发送请求,并在标题中(https://example.com/index.php?clientid=xxxx?spcode=xxxx)是一个管理员密码,用于确定它们是否为在我发送一堆数据之前,我系统的有效客户端。

如果一名流氓员工通过窥探本地SSL数据获取此密码,他可能会在发送和接收客户订单的情况下玩具,如果他猜测订单号(不是很难)。

我知道如何使用bcrypt来保护我系统上某人的密码。但是当其他人使用他们的系统时,如何保护某人的密码呢?

我知道您不应该发送预先调整过的密码,否则有可能泄露您的盐。我应该使用一些软的临时传输哈希(一个不同于我存储在DB中的哈希)。我认为这不是最好的方式,所以我要求大家帮忙。我在Stack Exchange找到了一些很棒的技巧。

提前感谢大家的时间。我期待着你的想法。

1 个答案:

答案 0 :(得分:5)

Snooping on SSL只能通过中间人进行,并且已经检测到了。

考虑如果你在fiddler中这样做,浏览器会抱怨证书。当然,因为你相信你不要监视你,你没关系!

相比之下,您将看到您没有使用正确的证书处理服务器。如果您的应用拒绝处理其他证书,那么它将不允许建立SSL连接,并且没有窥探。

我仍然建议在身份验证标头中发送密码,根据RFC 2617,NTLM等。特别是如果您稍后在同一系统上移动到服务器到浏览器,并且不希望它们可以从地址栏中窥探。

编辑:根据您编写应用程序的内容,可以暂时允许窥探以进行调试,这样做会更加棘手!