简单的XOR消息（Javascript / Tcl）？

Question

在通过HTTP GET / POST发送之前，我需要在客户端对用户名/密码进行加扰。在对数据库进行检查之前，服务器将使用Tcl对其进行解码。

目前我正在考虑在客户端使用JavaScript。 Java Applet也可以。

有没有办法，我可以使用Simple XOR或任何其他方法轻松实现它？ （非常感谢例子）

我在C / Python / .NET / Java中找到了一些样本......但不是在JavaScript和Tcl中。

遗憾的是，SSL不是一个可供使用的选项。

Answer 1

如果ssl不是一个选项，那么我建议使用以下方案，许多网站使用该方案而不是SSL：

1. 在客户端，结合用户名和密码，然后从中计算哈希值（MD5是一种流行的选择）。
2. 将用户名称和哈希值发送到服务器
3. 在服务器端，从数据库中检索该用户的密码。
4. 从用户名和密码中，计算哈希值并将其与客户端的哈希值进行比较。如果两者匹配，则密码匹配。
5. 为了增加安全性，请在用户+密码组合中添加一些随机文本。这个随机文本，即“盐”，必须在客户端和服务器端都知道。

以下是关于如何使用MD5计算哈希值的建议：

package require md5

proc calculateHash {user password salt} {
    return md5:md5 -hex "$user:$salt:$password"
}

如何使用它：

set user "johnny"
set password "begood2mama"
set salt "myDog_is_meaner_than_yourDog"

set hash [calculateHash $user $password $salt]

Answer 2

superNobody，

您应该考虑在数据库中存储纯文本密码的替代方法。参见：

• http://www.codinghorror.com/blog/2007/09/youre-probably-storing-passwords-incorrectly.html

不是在Javascript中对密码进行编码，而是在Tcl中解码密码以与数据库进行比较，您应该在Javascript中考虑SHA1散列，并在数据库中存储SHA1散列值。

javascript中有几个可用的SHA1哈希函数示例（只是谷歌'sha1 javascript'）。 tcllib Tcl库支持SHA1。

正如HaiVu所提到的，你还应该考虑散列/存储不只是一个直接的密码哈希，而是使用类似SHA1（用户名+网站名+密码）的东西。您可以在Javascript中在客户端上计算它，并将其存储在db。

中