所以我得到了我自己的小项目,我有一个登录我的朋友登录和发布新闻并更新另一件事。这个网站永远不会保存任何个人信息,只是为了我自己的教育。
所以我的问题是: 我是否需要创建自签名证书并将其添加到我的Web主机,或者为此付钱,或者我可以只使用CryptoJS创建哈希,然后当它在服务器端时使用php的password_hash()然后将其保存在数据库中?
答案 0 :(得分:1)
你在谈论两件不同的事情。首先是SSL,网络加密第二是db中的密码哈希。为了安全起见,您应该同时使用SSL和密码哈希。如果您不想为签名证书付费,您可以创建自己未经CA签名的证书并将其提供给您的朋友(以安全的方式),他们应将其包含在浏览器中,或者每次连接到站点时都应检查证书指纹。任何没有此证书或其指纹的人都不会知道它有MITM,浏览器会抱怨它。