我有一个使用ajax请求进行用户认证的登录页面。用户输入的平均密码以纯文本格式发送到ajax请求上的From Data。如果有人使用嗅探工具,我发送的数据很容易打开。通过Ajax保护密码认证
我确定我的问题的最佳解决方案是使用HTTPS,我的公司计划使用它。但我知道使用HTTPS并不容易,至少需要一段时间。我试图加密我的数据,但我找不到支持PHP和JavaScript的加密功能。我尝试通过会话发送密码,但我无法找到从javascript设置会话变量的方式。
我的问题的任何解决方案?
恐怕没有好的解决方案来解决您的问题,除了使用https。
是的,当然我会使用HTTPS,也许实现HTTPS并不困难,但仍然需要时间。但是我的系统必须始终在线?我只想在保护我的系统的同时等待HTTPS的实施。 – AdrianUsagi 2014-09-22 03:09:41
@AdrianUsagi签出http://www.jcryption.org/,可以让你通过,直到你得到SSL设置 – jmaloney 2014-09-22 03:22:52
就我所见,HTTPS是保护中间人攻击数据的唯一方法。这并不难实现。
加密,尽管隐藏数据很好,但不是一种安全的保护方式。此外,如果黑客有权访问您的JS代码,他们知道密码是如何加密的。
是的,当然我会使用HTTPS,也许实现HTTPS并不困难,但仍然需要时间。但是我的系统必须始终在线?我只想在保护我的系统的同时等待HTTPS的实施。 – AdrianUsagi 2014-09-22 03:08:50
据我所知,没有好的方法可以用这种方法加密信息(即使你找到了JS和PHP的库),因为黑客可以检查你的JS代码,查看加密方案,并解密被盗的信息。 – 2014-09-22 02:17:09
我不知道新的Crypto扩展是否可以处理这个问题。但正如@General_Twyckenham所说,我认为你今天没有太多选择。 – Prescott 2014-09-22 02:37:44
是的,这让我非常困惑。如果我使用自己的加密,我不确定它是否安全。有可能使用cookie将数据解析到服务器。但是,使用cookie发送数据安全吗? – AdrianUsagi 2014-09-22 02:45:49