我目前正在一个网站上工作,我已经对登录框进行了编码以登录到另一个页面(例如,www.domain.com 上的登录框登录到 subdomain.domain.com)
子域使用 HTTPS,目前域不使用。
我的问题是,我应该散列密码并将其发送到子域以避免使用明文,还是我应该要求域在使用 POST 请求时也使用 HTTPS?
最佳答案
对密码客户端进行哈希处理并不能阻止攻击者嗅探“您发送到服务器的东西”并复制它。不要那样做。
使用 SSL 加密客户端和服务器之间的通信。这样做。
在不使用 SSL 的情况下向用户提供表单会使它容易受到中间人攻击(例如,可以添加 JavaScript,它会在输入密码时和安全提交表单之前窃取密码)。不要那样做。
当人们想要登录时,要求他们输入凭据之前,将他们重定向到安全站点。
关于php - 散列或使用 SSL 将用户名和密码发送到外部站点,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/14603293/