【发布时间】:2015-01-23 06:19:59
【问题描述】:
最近我们的 Web 应用程序通过了审核。审核员得出以下结论:
虽然 SSL 已经实施并强制执行,但这仅意味着 有网络加密(即如果有人使用网络嗅探 工具,数据不会以明文形式出现)。然而,在终点—— 意思是客户端工作站 - 可能已被代理篡改或 监控工具。如果是这种情况,则不实施应用程序 登录或更改/重置密码期间的加密将允许用户 以明文形式显示的凭据。
是否有任何标准程序/实践可用于解决此类安全问题?客户端 JavaScript 加密/散列值得考虑吗?
注意:它是一个 JavaEE 应用程序 (Struts+EJB),只处理数据检索(即查询系统)
【问题讨论】:
标签: encryption https client-side password-protection tampering