0
我正在嘗試使用FLEX和AMFPHP創建一個相當簡單的用戶身份驗證系統,但我對安全性有疑問。FLEX + AMFPHP用戶身份驗證
我看到的大多數例子都將純文本用戶名/密碼發送到一個php文件,它將它們加密,並將它們發送到數據庫以進行檢查或保存......我是否錯過了某些內容或正在發送用戶名/密碼以明文形式,黑客有機會扼殺電話並從您的請求中提取信息? FLEX的請求會被攔截嗎?或者它是在「閉門造車」的服務器端完成的?
A
回答
0
是的,你是對的。之後將密碼存儲在客戶機上並將其發送到服務器。
0
或者,您可以強制爲您的登錄頁面強制使用HTTPS連接。這樣,密碼就會被加密到PHP服務器上,但仍然以純文本形式提供給PHP,因此可以管理哈希。
0
您可以在客戶端上散列密碼並將其發送到服務器,但您必須知道有些人可以在客戶端找到您的散列算法。如果你試圖犯規新手哈希的事情可能會起作用。但是如果你認爲黑客不是一些新手,我認爲你甚至不應該打擾哈希並直接使用HTTPS。
加載另一個嵌套在前面的swf不能解決您的問題。瀏覽器無法有效地保護緩存在內存中的文件,黑客仍然可以找到您要隱藏的文件。
相關問題
- 1. 用戶身份驗證
- 2. 用戶身份驗證
- 3. Django用戶身份驗證
- 4. Jetty Truststore身份驗證與SSL客戶端身份驗證
- 5. Web Api客戶端身份驗證(非用戶身份驗證)最佳實踐
- 6. Flex客戶端身份驗證與NTLM使用md5加密
- 7. WCF - 傳輸身份驗證 - 獲取身份驗證用戶的憑證
- 8. 使用Windows身份驗證和匿名身份驗證獲取用戶名
- 9. 使用REST的用戶身份驗證
- 10. 用戶身份驗證(使用sha1)
- 11. 用戶身份驗證不起作用
- 12. 自定義身份驗證 - 用戶登錄但未經過身份驗證
- 13. 用戶通過身份驗證後觸發事件 - Windows身份驗證
- 14. 螳螂用戶身份驗證無法在Dokuwiki中進行身份驗證
- 15. LDAP添加用戶(身份驗證)
- 16. Laravel 5內置用戶身份驗證
- 17. 用戶身份驗證失敗
- 18. python中的Firebase用戶身份驗證
- 19. 流明中的用戶身份驗證
- 20. CakePHP與OpenID和用戶身份驗證
- 21. Android Django用戶身份驗證
- 22. Django和Google Apps用戶身份驗證
- 23. Rails:特定身份驗證用戶
- 24. 用戶身份驗證失敗/ w Hash
- 25. 用戶身份驗證響應
- 26. (AngularJS +護照)用戶身份驗證
- 27. MongoEngine用戶身份驗證(django)
- 28. 沒有用戶的Google身份驗證
- 29. Zend_Auth_Adapter_DbTable來驗證用戶身份
- 30. django用戶身份驗證+ gwt
多數民衆贊成在我認爲...然後問題仍然存在,我怎麼阻止黑客發現和解碼我的加密flex,因爲actionscript可以很容易反編譯... 我將嘗試動態加載登錄瑞士法郎從另一個網址,一個被保護免受瀏覽...這*應該*阻止人們得到他們的手在瑞士法郎,所以他們不能看到密碼是如何加密的..這是可以接受的嗎? – loogie 2011-03-12 17:01:13