登入註冊還是用https安全。
在客戶端base64或者md5什麼的真心沒用,我直接監聽到你所謂的密文,然後用指令碼發起一個http請求就可以登入上去了。
http在網路上是明文傳輸的,代理和閘道器都能夠看到所有的資料,在同一區域網內也可以被嗅探到,你可以開個wireshark抓下區域網的包試試看。
我認為加密也沒有提高什麼攻擊難度,因為攻擊者就沒必要去解密原始密碼,能登入上去就表示目標已經實現了,所以,難度沒有提高。
另外,在客戶端md5後,服務端怎麼把原始密碼還原出來,不能資料庫直接存md5吧?所以要選擇加密演算法的話,還要讓服務端能還原出來原始密碼。然後:如果是簡單的base64下,這種演算法對安全性沒什麼提高呀,base64又不是加密演算法,它的作用就是編碼下而已,如果這個能難道駭客的話,那他可以洗洗睡了。其他的諸如非對稱加密之類的演算法當然可以,但是這不是https提供的功能麼?而且https提供的安全保障還可以應對其他的攻擊。看,饒了一圈又到這裡了,唯一可靠的還是https,所以別吵了,買個證書切上https睡覺去吧。
登入註冊還是用https安全。
在客戶端base64或者md5什麼的真心沒用,我直接監聽到你所謂的密文,然後用指令碼發起一個http請求就可以登入上去了。
http在網路上是明文傳輸的,代理和閘道器都能夠看到所有的資料,在同一區域網內也可以被嗅探到,你可以開個wireshark抓下區域網的包試試看。
我認為加密也沒有提高什麼攻擊難度,因為攻擊者就沒必要去解密原始密碼,能登入上去就表示目標已經實現了,所以,難度沒有提高。
另外,在客戶端md5後,服務端怎麼把原始密碼還原出來,不能資料庫直接存md5吧?所以要選擇加密演算法的話,還要讓服務端能還原出來原始密碼。然後:如果是簡單的base64下,這種演算法對安全性沒什麼提高呀,base64又不是加密演算法,它的作用就是編碼下而已,如果這個能難道駭客的話,那他可以洗洗睡了。其他的諸如非對稱加密之類的演算法當然可以,但是這不是https提供的功能麼?而且https提供的安全保障還可以應對其他的攻擊。看,饒了一圈又到這裡了,唯一可靠的還是https,所以別吵了,買個證書切上https睡覺去吧。