如果没有 https (ssl),如何安全传输密码?
【问题讨论】:
标签: http ssl https security password-protection
摘要式身份验证提供一些保护,尤其是当您的 nonce 生命周期很短且易于实施时。这使得它适用于某些情况下,密码是您唯一需要防止窥探的东西。有关更多信息,请参阅 RFC 2617。
但它仍然不如 HTTPS 安全。
【讨论】:
Secure Remote Password 协议专为这些情况而设计。有一些 JavaScript 实现浮动,应该适合 HTTP 上下文。但请记住,这可以防止有人被动地收听,但不能防止有人干预流量,因为他们可能只会向您的用户发送损坏的 JavaScript。
另外请记住,即使客户端密码不能被泄露,它们也已通过身份验证,除非您注意保护它们,否则它们仍然容易受到中间人的攻击,例如使用SRP Hermetic
Clipperz 应该是适合您目的的优秀 JavaScript SRP 库。
【讨论】:
绝对推荐使用 SSL,并且有几个便宜(或免费)的来源可以获得 SSL 证书。但是,如果您绝对不能使用 SSL,则可以使用像 http://www.jcryption.org/ 这样的 JavaScript 加密库。请记住:
jCryption 在它的当前状态是没有 替换 SSL,因为有 没有身份验证,但主要目标 jCryption 应该是一个非常简单且 快速安装插件,它提供了一个 基本安全级别。
【讨论】: