【问题标题】:Prevent password from tampered by proxies/tools at client's workstation?防止密码被客户端工作站的代理/工具篡改?
【发布时间】:2015-01-23 06:19:59
【问题描述】:

最近我们的 Web 应用程序通过了审核。审核员得出以下结论:

虽然 SSL 已经实施并强制执行,但这仅意味着 有网络加密(即如果有人使用网络嗅探 工具,数据不会以明文形式出现)。然而,在终点—— 意思是客户端工作站 - 可能已被代理篡改或 监控工具。如果是这种情况,则不实施应用程序 登录或更改/重置密码期间的加密将允许用户 以明文形式显示的凭据。

是否有任何标准程序/实践可用于解决此类安全问题?客户端 JavaScript 加密/散列值得考虑吗?

注意:它是一个 JavaEE 应用程序 (Struts+EJB),只处理数据检索(即查询系统)

【问题讨论】:

    标签: encryption https client-side password-protection tampering


    【解决方案1】:

    SSL 加密有助于避免网络嗅探和拦截攻击,例如中间人。但是,如果拦截发生在之后,那么您需要在客户端进行加密。

    【讨论】:

      【解决方案2】:

      是的.. 明智的做法是对凭据进行哈希处理,这样即使攻击者使用代理,他/她也无法理解正在传递的数据。

      【讨论】:

        猜你喜欢
        • 1970-01-01
        • 2020-12-22
        • 1970-01-01
        • 2019-06-16
        • 1970-01-01
        • 1970-01-01
        • 1970-01-01
        • 2014-05-06
        • 2013-01-02
        相关资源
        最近更新 更多