我有一個使用ajax請求進行用戶認證的登錄頁面。用戶輸入的平均密碼以純文本格式發送到ajax請求上的From Data。如果有人使用嗅探工具,我發送的數據很容易打開。通過Ajax保護密碼認證
我確定我的問題的最佳解決方案是使用HTTPS,我的公司計劃使用它。但我知道使用HTTPS並不容易,至少需要一段時間。我試圖加密我的數據,但我找不到支持PHP和JavaScript的加密功能。我嘗試通過會話發送密碼,但我無法找到從javascript設置會話變量的方式。
我的問題的任何解決方案?
我有一個使用ajax請求進行用戶認證的登錄頁面。用戶輸入的平均密碼以純文本格式發送到ajax請求上的From Data。如果有人使用嗅探工具,我發送的數據很容易打開。通過Ajax保護密碼認證
我確定我的問題的最佳解決方案是使用HTTPS,我的公司計劃使用它。但我知道使用HTTPS並不容易,至少需要一段時間。我試圖加密我的數據,但我找不到支持PHP和JavaScript的加密功能。我嘗試通過會話發送密碼,但我無法找到從javascript設置會話變量的方式。
我的問題的任何解決方案?
恐怕沒有好的解決方案來解決您的問題,除了使用https。
是的,當然我會使用HTTPS,也許實現HTTPS並不困難,但仍然需要時間。但是我的系統必須始終在線?我只想在保護我的系統的同時等待HTTPS的實施。 – AdrianUsagi 2014-09-22 03:09:41
@AdrianUsagi簽出http://www.jcryption.org/,可以讓你通過,直到你得到SSL設置 – jmaloney 2014-09-22 03:22:52
就我所見,HTTPS是保護中間人攻擊數據的唯一方法。這並不難實現。
加密,儘管隱藏數據很好,但不是一種安全的保護方式。此外,如果黑客有權訪問您的JS代碼,他們知道密碼是如何加密的。
是的,當然我會使用HTTPS,也許實現HTTPS並不困難,但仍然需要時間。但是我的系統必須始終在線?我只想在保護我的系統的同時等待HTTPS的實施。 – AdrianUsagi 2014-09-22 03:08:50
據我所知,沒有好的方法可以用這種方法加密信息(即使你找到了JS和PHP的庫),因爲黑客可以檢查你的JS代碼,查看加密方案,並解密被盜的信息。 – 2014-09-22 02:17:09
我不知道新的Crypto擴展是否可以處理這個問題。但正如@General_Twyckenham所說,我認爲你今天沒有太多選擇。 – Prescott 2014-09-22 02:37:44
是的,這讓我非常困惑。如果我使用自己的加密,我不確定它是否安全。有可能使用cookie將數據解析到服務器。但是,使用cookie發送數據安全嗎? – AdrianUsagi 2014-09-22 02:45:49