可能不安全的登錄

Question

在我的公寓，我連接到由大樓管理的私人WiFi網絡。爲了連接到互聯網，我需要通過Intranet服務器提供的網頁登錄。

出於對瀏覽器不要求保存我的用戶名和密碼這一事實的興趣，我決定查看源代碼以瞭解它是如何完成的。一旦這樣做，我碰上了，編譯與這似乎是鹽密碼一些奇怪的JS代碼，然後將其轉換爲hexMD5：

password = hexMD5(
    '\360' + 
    document.login.password.value + 
    '\123\076\310\204\336\276\065\360\375\311\365\076\031\311\360\117' 
) 

如果密碼被鹹魚和散列這樣的，肯定是相同的會需要在服務器上完成，這意味着我的密碼正在以純文本格式保存？我可能錯了，但我沒有看到任何其他方式。

任何有關這方面的見解將不勝感激，請讓我知道，如果這個問題是更多的套件到另一個SE網站。

Answer 1

我假設hexMD5（）是將任何字符串轉換爲MD5散列的實現。如果這是真的，那麼不會以純文本保存您的密碼。

後端可以保存MD5散列並將存儲的散列與它從登錄接收到的散列進行比較。

但是，如果他們在登錄創建一個新的鹽每一次則是他們可能會節省您的密碼以明文形式，除非他們的實現類似於md5(salt + md5(password))東西。

安全性有很多關於哈希的線程，如果你想要更多的信息。