我想知道我是否有这样的网络服务:
Login(username, password)
或类似
的网页login.aspx?u=username&p=pass
如果他们是从桌面应用程序调用的,那将更安全。从我读过的嗅探器可以读取请求并找出网址。 我在将密码放入请求之前对其进行哈希,但是如果有人看到带有params / query字符串的请求网址,那么他们可以使用相同的值来生成请求!?
嗅探器找出哈希密码有多容易/多难?我应该在将密码和用户名放入网址和网络服务之前对其进行加密吗?我有其他选择吗?
我问,因为数据不是那么敏感,但基本安全应该以最低的性能成本存在
注意:SSL不是一个选项
答案 0 :(得分:1)
只需使用HTTPS加密频道即可。这样你就不必担心嗅探器了。
答案 1 :(得分:1)
使用SSL通过登录服务创建唯一的会话令牌。对于其余部分,请使用标准HTTP上的会话令牌。
您的登录会话需要将用户名/密码作为POST,否则这些值将显示在对服务器的URL请求中,并可能在网络上进行窥探。
答案 2 :(得分:0)
如果您正在与银行合作,则可能需要使用SSL。检查您当地的法规 - 我认为这也将决定什么是敏感数据。