如果之前有人问我,我很抱歉,但我希望得到最新答案。
我对服务器端安全性非常陌生,我想要正确地做到这一点。
我的问题:加密通过HTTPS发送的密码是最佳做法吗?
我看过在POST变量发送之前建议使用Javascript加密密码的帖子,但我不确定在使用HTTPS时是否有必要这样做。
请注意:我的目的是散列和散播。在密码存储在数据库中时密码。
答案 0 :(得分:5)
如果使用HTTPS,则没有太多理由加密客户端和服务器之间发送的数据。 HTTPS会为您执行此操作,因此任何进一步加密都是多余的。
我可以考虑提前加密密码的唯一原因是对客户端进行哈希处理,以避免在服务器内存或日志中保留明确的密码。这有点偏执,在现实世界中可能没什么用处。无论如何,日志都不应该记录密码,如果有人可以访问您的服务器内存,除了密码加密之外,还有其他问题需要解决。
此外,加密客户端中的密码允许其他人查看加密/散列的执行方式。恕我直言,这比将它驻留在服务器内存中几秒钟更具安全风险。