窃取我的POST数据

| 好的,这可能是非常基本的,但是对于我来说,在此开发阶段中,含义很重要。感谢您的投入和讨论。 此示例中的数据不受SSL加密的保护。 “ 0”包含将变量“ 1”和“ 2”发布到“ 3”的形式。 来自任何地方的任何人都可以通过侦听(例如使用Firesheep之类的第三方软件)来拦截我的POST数据吗? 如果以上问题为真: 我是否应该始终认为任何人都可以免费使用未加密的POST数据? 我网站上的标准登录表单只是用来描述甚至没有的安全保护层吗? 然后,我是否应该考虑使用登录功能作为个性化用户体验的一种方式? 鼓励用户不要使用他或她的正常(假定更安全)的密码是否有意义,因为在他们的注册和登录过程中不会保护该密码? 我正在考虑这些问题,感谢您的投入和反馈。     
2020-01-01 5 条评论
分享

没有找到相关结果

    已邀请:

    晤默报

      来自任何地方的任何人都可以通过侦听(例如使用Firesheep之类的第三方软件)来拦截我的POST数据吗? 不,交通必须经过他们附近。   如果以上问题为真: 没有,但是即使如此。   我是否应该始终认为任何人都可以免费使用未加密的POST数据? 除非它仅通过LAN传输,否则可以。如果它仅跨LAN传播,则添加限定符“在该LAN上”,答案是肯定的。   我网站上的标准登录表单只是用来描述甚至没有的安全保护层吗? 没有   然后,我是否应该考虑使用登录功能作为个性化用户体验的一种方式? 当然,没有加密就不应该做任何严肃的事情。   鼓励用户不要使用他或她的正常(假定更安全)的密码是否有意义,因为在他们的注册和登录过程中不会保护该密码? 对于任何系统,这样做都是有意义的。即使通信是安全的,将来您的服务器也可能受到威胁,或者第三方系统可能受到威胁,然后那里的数据曾经用来攻击您的系统。     
    2020-01-01 0 0
    分享

    疮痪徘弦漏

    当用户通过未加密的HTTP提交登录表单时,其数据将通过一系列路由发送到您的服务器。在这些路线中的任何一条路线上,是的,有人可以嗅探数据。同样,如果用户的计算机被感染,黑客可能会在本地嗅探数据。 如果是登录表单,则应使用SSL,句号。还要确保用户密码在数据库中已加密。登录过程应为: 用户通过HTTPS使用用户名和密码提交登录 服务器采用密码并对其应用散列算法,通常使用MD5,尽管建议使用SHA256之类的强密码 服务器将加密值与数据库中的加密值进行比较 这样,如果您的数据库遭到黑客入侵,密码将非常难以查明(除非密码使用了\'password \'之类的基本密码,但这是此时的错误)。   鼓励   用户不要使用他或她的正常   (假设更安全)密码,因为它   不会受到保护吗? 您将带走用户。     
    2020-01-01 0 0
    分享

    犀寺扦

    是。可以看到通过的数据包的任何人都可以看到用户名和密码。在开放的共享Wi-Fi网络等上,这尤其容易受到攻击。 我想说的是您的所有假设都是正确的,这就是为什么在服务之间共享密码是一种不好的做法,尤其是在那些服务具有不同安全级别的情况下。 如果可以的话,我建议您改用SSL登录,部分原因是太多的用户会忽略您提供给他们的关于使用公用密码的任何建议,部分原因是这是一种很好的做法。在“正常”人使用Firesheep之类的东西变得如此容易之前,这是一种好习惯,而现在,它变得更加重要。     
    2020-01-01 0 0
    分享

    瞥同忙接

    然后,我是否应该考虑使用登录功能作为个性化用户体验的一种方式? 鼓励用户不要使用他或她的正常(假定更安全)的密码是否有意义,因为在他们的注册和登录过程中不会保护该密码? 这取决于使用登录表单的网站。大多数大型网站(例如Gmail)都使用https进行登录身份验证,然后切换到http。 (有报告说此开关还引入了一些漏洞。)其他站点在隐藏的表单字段中发送盐值。您原来的密码将替换为salt和哈希。在服务器上重复相同的操作,以确保您发送了正确的密码。这发生在幕后,因此用户无法真正确定是否以未加密的方式发送。希望有好的网站可以做到这一点。普通站点可能不会这样做。路由器和调制解调器的许多配置页均未进行加密或混淆。     
    2020-01-01 0 0
    分享
    为什么被折叠? 0 个回复被折叠

    要回复问题请先登录注册

    或代码 OrCode.com 备案号:粤ICP备15020848号-1
    Escape time: 0.057861089706421