也許標題是措辭嚴厲,但想不出更好的表達方式。使用AJAX發送純文本密碼有多安全?
我目前在登錄系統上工作(沒有正式的,只是試驗),並計劃使用PHPLiveX(一個AJAX庫)的一些功能。基本上你創建了一些PHP函數,然後通過JavaScript調用。您可以將參數(getElementById)添加到傳遞到PHP函數的JavaScript中。
我真正想知道的是,只要先調用JavaScript函數而不先加密密碼,然後讓PHP函數加密它(本例中是SHA256),是否安全。可以通過AJAX傳輸的數據被攔截嗎?如果是這樣的可能性有多大?
除了使用SSL之外,什麼是保證這一點的最佳方式?如果可以在JavaScript中加密密碼,這是一個可重用的解決方案嗎? – j82374823749 2009-07-17 19:15:29
如果在JavaScript中對密碼進行哈希處理,那麼任何嗅探流量的人都會看到它(它只會被哈希)。攻擊者可以使用哈希密碼來重播此請求 – 2009-07-17 19:27:13
而SSL將解決此問題? – j82374823749 2009-07-17 19:31:03