使用(缩小的)javascript Ajax jQuery时,我可以保护其他程序员的密码安全吗?更具体地说,当使用像Firebug这样的工具进行调试时,我可以保留其他人的密码(甚至加密)吗?
这是一个场景: 我构建了一个XML doc(服务器端)并将其传递给我的jQuery / Ajax控制器。谁说有人不会在Firebug中设置断点,复制并粘贴加密的用户ID,加密密码并将自己的请求发送到原始URL?
是的,我可以做所有这个服务器端。我的问题是,我可以做客户端吗?
当人们想要“安全”的数据时,让我们面对它的窥视,那些我们正在为自己辩护......其他程序员。
Luv你会的。
答案 0 :(得分:1)
不,你不能。你只能让它难以破解。 这是DRM方案的基本问题:
他们的目标是从客户端控制客户端上的内容。
尽管如此,除非您尝试实施DRM方案,否则无需牺牲安全性。这是因为授权,身份验证和验证应始终在服务器上(或在服务器上进行)。
客户端需要的唯一凭据是它自己的凭据,并且由于客户端需要它们登录并且已经拥有它们,因此这不是安全问题。
任何允许客户超出其许可的凭证都必须保留在服务器中。
只有在对客户端进行适当身份验证并授权操作后,服务器才会代表客户端使用这些凭据。
任何将凭据传递给客户端并依赖客户端混淆来维护安全性的架构都存在缺陷。