好的,這可能是非常基本的,但這個影響對我在這個階段的開發中很重要。我很感激任何意見和討論。竊取我的POST數據
本示例中的數據未使用SSL加密進行保護。
page1.php/asp包含一個形式的POST變量username和password到page2.php/asp。
如果上述問題使TRUE:
我在思考這些問題,感謝任何意見和反饋。
任何一個來自任何地方的人都可以通過偵聽我的POST數據來攔截我的POST數據,或許可以使用Firesheep等第三方軟件?
號,交通必須通過在他們附近。
如果上述問題使TRUE:
沒有,但即使是這樣。
我是否應始終認爲我的未加密POST數據可供任何人免費使用?
除非它只是傳播跨越LAN,那麼是的。如果它只通過局域網傳輸,那麼在該局域網上添加限定符,答案將是肯定的。
我的網站上的標準登錄表單只是描述一層甚至不存在的安全性的一個工具嗎?
沒有
我應該再考慮登錄功能只是作爲一種方式,我以個性化的用戶體驗?
當然,你不應該做任何嚴肅的事情沒有加密。
鼓勵用戶不要使用他或她的正常密碼(假設更安全),因爲在註冊和登錄過程中不會受到保護,是否有意義?
這將是有意義的任何系統這樣做。即使通信是安全的,您的服務器將來也可能會受到影響,或者第三方系統可能會使用那些數據來攻擊您的系統。
當用戶通過未加密的HTTP提交登錄表單時,他們的數據會通過一系列路由發送到您的服務器。在這些路線中的任何一條,是的,有人可以嗅探數據。另外,如果用戶的機器受到感染,黑客可以在本地嗅探數據。
如果是登錄表單,您應該使用SSL,期限。還要確保用戶的密碼在您的數據庫中被加密。用於登錄的過程應該是:
這樣,如果你的數據庫不斷遭到黑客攻擊,密碼是非常非常難搞清楚(除非他們使用一些基本的東西像「密碼」,但這是他們的在那個錯誤oint)。
是否有意義,鼓勵 用戶不使用他或她的正常 (假定更安全)的密碼,因爲它 將不受保護?
您會將用戶驅走。
注意:md5和SHA不是加密的,它們是哈希算法。 – 2011-05-16 10:56:29
@GregB是的,我剛剛在修改中修復了這個問題 – 2011-05-16 10:58:39
另外,還要加密哈希密碼,以避免通過彩虹表破譯用戶的密碼。並重復他們幾輪,使暴力攻擊幾乎無用。爲了防止這種情況發生,如果某人獲得訪問哈希密碼的權限,可能會得到原始的純文本密碼。 – 2011-05-16 10:59:15
是的。任何可以看到通過的數據包的人都可以看到用戶名和密碼。這使得它在開放的,共享的Wi-Fi網絡等時尤其脆弱。
我想說,所有的假設不順,這是特別爲什麼它是不好的做法,共享服務之間的密碼,尤其是當這些服務有不同的安全級別。
我想提醒你,如果你能,一方面是因爲很多用戶會忽視什麼建議給他們有關使用通用密碼移動到SSL登錄,部分是因爲這是一個好的做法。這是很好的做法前之類的東西Firesheep變得如此容易「正常」的人使用,它現在是更重要的。
我應該考慮登錄功能,以此作爲個性化用戶體驗的一種方式嗎? 鼓勵用戶不要使用他或她的正常(假設更安全的)密碼是否有意義,因爲在註冊和登錄過程中它不會受到保護?
這取決於使用登錄表單的網站。大多數大型網站(如Gmail)都使用https進行登錄身份驗證,然後切換到http。(有報道稱這種交換機也引入了一些漏洞。)其他網站在隱藏的表單字段中發送salt值。您的原始密碼被salt和散列替換。在服務器上重複相同的操作以確保您發送了正確的密碼。這發生在幕後,因此用戶無法真正確定是否發送未加密。預計有良好的網站可以做到這一點。普通網站可能不會這樣做。路由器和調制解調器的許多配置頁面不使用加密或混淆。
謝謝David,你的回答回答了我所有的問題。你最後的評論表明你實際上得到了我的意思:) – Mattis 2011-05-17 07:30:43
請看@MattGibson的帖子。交通攔截通常是局域網上的理論。使用Open WiFi時,它總是發生。 – 2011-06-09 12:14:03