我目前正在网站上工作,我已将登录框编码为登录其他页面(例如www.domain.com上的登录框以登录subdomain.domain.com)
子域名使用HTTPS,目前域名不使用。
我的问题是,我应该散列密码并将其发送到子域以避免使用明文,还是在使用POST请求时我是否还要求域使用HTTPS?
答案 0 :(得分:1)
哈希密码客户端并不能阻止攻击者嗅探“你发送给服务器的东西”并复制它。不要那样做。
使用SSL加密客户端和服务器之间的通信。这样做。
在不使用SSL的情况下向用户提供表单会使其容易受到中间人攻击(例如,可能会添加JavaScript,以便在输入密码时以及在安全提交表单之前窃取密码)。不要那样做。
当人们想要登录时,请在要求他们输入凭据之前将其重定向到安全网站。