0
我很好奇如何從網站登錄表單向服務器正確發送用戶名和密碼。登錄認證機制 - 客戶端發送用戶名/密碼的正確方法
如果我只是發送的用戶名和密碼,沒有他們散列到HTTPS服務器是如何暴露的是我在POST請求別人嗅探包,找出您的密碼發送密碼?該服務器已啓用https。
什麼是正確的方法來做到這一點?
A
回答
3
如果服務器啓用了HTTPS,則任何通過線路傳輸的數據都將被加密。對於只有網絡的攻擊者來說,通過HTTPS甚至可以嗅探到明文密碼而沒有一方注意到這一點非常困難。
HTTPS在傳輸層上使用SSL/TLS,該傳輸層旨在提供加密和身份驗證。作爲握手協議的一部分,SSL/TLS協議針對每個會話協商對稱加密密鑰,並與強大的算法一起使用以保護線路上的數據。
爲了緩解'中間人'攻擊,客戶端和服務器用於建立共享加密密鑰的非對稱密鑰也由證書頒發機構進行加密簽名,以提供信任保證和防止證書的修改。只要證書頒發機構可以信任,就很容易檢查證書本身的簽名和服務器名稱。所有現代瀏覽器都會自動執行此操作,並在證書出現問題時向用戶發出警告。
只要您和您的用戶知道圍繞正確使用SSL的問題(例如,保證您的私鑰安全,並確保您的用戶注意瀏覽器警告),可以通過發送明文密碼SSL連接。
如果您的應用程序的需求甚至無法完成,您可以考慮使用X.509身份驗證(它使用客戶端和服務器端的證書)或Kerberos身份驗證(它不會發送任何密碼電線)。但對於基本的Web應用程序來說,這兩種解決方案都是過分的。
相關問題
- 1. 使用登錄密碼認證的WCF客戶端
- 2. WCF客戶端與SSL和用戶名/密碼認證
- 3. 客戶端/服務器用戶名/密碼認證
- 4. CakePHP登錄用戶名/密碼驗證
- 5. 向客戶端發送PHP錯誤的正確機制
- 6. 當用戶名和密碼正確時無法登錄
- 7. 第一個客戶端登錄後,服務器無法正確向新客戶端發送數據
- 8. 以編程方式驗證登錄名(用戶名和密碼)
- 9. 客戶向JMS中的客戶端確認模式發送確認
- 10. 不正確的用戶名密碼3次java登錄表格
- 11. 登錄頁面輸入正確的用戶名和密碼
- 12. 通過Authlogic客戶,登錄和密碼驗證用戶
- 13. 正確的HTTP客戶端方法
- 14. 可能使用用戶名/密碼而不是客戶端UI登錄Facebook嗎?
- 15. 發送用戶名和密碼到谷歌oauth認證
- 16. 從客戶端發送登錄憑證到OData服務
- 17. 通過客戶端發送的請求是語法不正確
- 18. 如何在客戶端使用IHttpAsyncHandler向客戶端發送多個確認
- 19. 管理客戶端用戶名和密碼
- 20. 登錄PHP腳本用戶名和密碼是正確的,但不會登錄
- 21. 用戶登錄期間,Django Authenticate返回無正確的用戶名和密碼
- 22. 客戶端發送格式不正確的主機頭
- 23. Zend HTTP客戶端密碼
- 24. 維護客戶端http客戶端 - 服務器連接的正確方法?
- 25. 使用RavenDB客戶端API發送客戶端證書
- 26. 保護客戶端機器上的客戶端密碼
- 27. 用cURL發送用戶名和密碼
- 28. 無法使用Plivo子賬戶的用戶名和密碼端點登錄
- 29. Sharepoint的用戶名/密碼登錄
- 30. 通過PHP Soap發送登錄名和密碼客戶端不會被WCF服務主機接收到?