【问题标题】:How Is My Password Transferred from My Browser to the Web Server Securely?我的密码如何从我的浏览器安全地传输到 Web 服务器?
【发布时间】:2010-10-08 13:24:56
【问题描述】:

我输入的密码(例如 Gmail 登录表单)如何安全地传输到网络服务器?

  • 浏览器或任何客户端应用程序有什么作用?
  • Web 服务器的作用是什么?

【问题讨论】:

    标签: browser encryption cryptography passwords


    【解决方案1】:

    通过使用SSL

    编辑
    Steve Gibson 和 Leo Laporte 的 Security Now! 播客是关于安全和加密信息的一个很好的资源。 Steve 可以非常透彻地解释安全性是如何工作的,所以去看看吧!

    最新一集 (#183) 是关于加密模式 (link to shownotes/podcast)

    【讨论】:

    • 删除了我的!!击败我几毫秒:)
    • 是的,我知道它会加密。而且我也有一个模糊的想法,他们使用公钥加密,但我可能是错的。能详细解释一下吗?
    • @Srikanth:服务器向客户端发送其证书和公钥。客户端验证它是否信任证书并为对话创建对称密钥。然后客户端然后使用服务器的公钥加密对称密钥并将其发送给服务器。
    • @Mr Potato Head:谢谢!这也是我从其他人那里听到的,但有了这些信息,我仍然觉得我不太清楚,如果有人问我,我可以向别人解释。
    • @Zaagmans:谢谢!我会听那些播客。密码学总是让我着迷,但每次我在 Wikipedia 上读到有关它的内容时,我都会看到 10,000 个其他不熟悉的术语让我感到困惑。
    【解决方案2】:

    对于 GMail 或任何其他基于表单的身份验证,保护来自传输层。如果您通过 HTTP 发送表单,则基本上没有保护。如果您使用 SSL(您应该使用)发送表单,则保护来自 SSL。您可以在http://en.wikipedia.org/wiki/Transport_Layer_Security 阅读有关 SSL 的更多信息

    【讨论】:

      【解决方案3】:

      这完全取决于是 HTTPS 还是 HTTP 请求。通常,HTTP 身份验证请求以所谓的“等价明文”形式发送。它以 Base-64 编码,很容易反转,因此它基本上是纯文本 - 这意味着它不安全。

      某些浏览器(例如 Internet Explorer)具有一些扩展程序,允许将“安全”密码发送到能够理解并解码密码的服务器。这通常意味着 IIS 在域环境中运行。我将安全放在引号中,因为就像 Microsoft 所做的大多数事情一样,真正的安全性通常有待讨论。

      如果您使用 HTTPS,密码仍然以相同的方式发送,但由于它通过安全传输方式传递,因此密码是否为明文并不重要,因为传输方式正在对其进行编码。

      【讨论】:

        猜你喜欢
        • 1970-01-01
        • 1970-01-01
        • 2012-12-01
        • 1970-01-01
        • 1970-01-01
        • 1970-01-01
        • 2017-11-09
        • 1970-01-01
        • 2019-06-17
        相关资源
        最近更新 更多