從我在網站上看到的很多帖子,由AJAX或傳統形式執行的登錄是一樣安全的。 (RE:Login/session cookies, Ajax and securityAjax login and javascript cookies, is this secure?)JavaScript哈希在AJAX登錄調用,更安全?
我的問題(S)是/是:
如果我哈希(通過客戶端/ JavaScript的哈希 庫)用戶的密碼之前,我把它發送到服務器,我是否增加了人員安全度?
如果我放置一個表單令牌(一個隨機基礎,另一個基於時間),那麼是否涵蓋CSRF攻擊?
其實這可能是一個主要的安全問題。密碼被散列的原因是計劃失敗的一種手段。攻擊者可能訪問數據存儲(sql注入),然後獲得散列。如果您只是使用哈希登錄,那麼攻擊者不必破解已恢復的哈希以訪問應用程序。
重播攻擊也是一個問題。如果我在認證期間嗅探哈希,什麼阻止我重播該請求進行身份驗證?
使用消息摘要功能進行身份驗證的協議爲客戶端提供了一個隨機數,用作一次性salt。微軟的SMB NTLM身份驗證就是一個很好的例子,但它有a lot of problems。
USE SSL,而不僅僅是登錄。 OWASP A9指出會話ID絕不能通過不安全的通道泄露。畢竟誰在乎密碼,如果你只是在幾毫秒後泄漏真正的認證證書。
大多數人不會爲登錄實施CSRF保護。畢竟攻擊者首先必須知道密碼,所以「會議騎行」是一個有爭議的問題。
稍微放一邊,但在回答問題3。另外請記住,AJAX和標準格式也就像不安全一樣。
實施安全認證非常困難。除非你是做學術練習,否則我會強烈建議使用你的框架提供的庫,如果你有足夠的幸運有一個好的。
您還需要考慮諸如以下等事情。
這太棒了!是否在PHP的session_start()函數中內置了「確保2個會話不能同時具有相同的會話ID」? –
@JosephSzymborski是的。你可能會發現這個有趣的重新php http://phpsec.org/projects/guide/4.html – Cheekysoft
如果您需要發送密碼(並且如果可能的話,還有其他所有情況,也有登錄會話cookie),請使用SSL。 – Thilo