HTML保护密码字段

Question

我正在一个网站上工作，我想提供最安全的通信，但是我花不起很多钱。

关于以下内容： <input type='password' name='password'>

通常，它们将通过传输协议以纯文本形式发送。
我只是以每月1欧元的价格拥有一些廉价的托管服务，而我无法真正“负担得起”（就网站捐赠和安全性的重要性而言）所有子域的SSL证书（每月8,50欧元）。

因此，我现在想知道，有什么选择可以防止以plain text形式发送密码？ 实际上，将其作为纯文本发送并不重要，除了浏览器和服务器之外，其他任何人都不应读取它，但是我想使用纯文本总是可能的。

我也在通过AJAX在输入字段上进行实时服务器端验证，例如，对密码长度进行检查等。 因此，即使它有意义，我仍然可以访问该数据。

我可以访问例如HTML，JavaScript / JQuery，PHP，AJAX以及可能需要的其他语言。

Answer 1

如果您需要的只是加密，以使您的通信对窃听者隐藏-您不需要SSL。 正如我所看到的，SSL和证书的主要功能是身份验证：您的客户知道他们确实在浏览您的网站（例如，不浏览某些钓鱼网站）。 身份验证还有助于抵御中间人（MitM）攻击者。

如果要隐藏窃听者的密码，请发送一些公钥，然后发送使用此公钥加密的密码。 据您所知，唯一知道私钥的人就是您的客户确实收到了您的公钥-这应该足够了。

请注意，上述解决方案不适用于MitM：这样的攻击者只能将发送给客户端的公钥更改为自己的公钥，从而使攻击者可以解密加密的密码（因为他知道密码的私钥）。新的公钥）。 如果使用SSL，则客户端可以验证您的公钥确实是您的（由证书颁发机构签名）。

因此，我建议您搜索如何在JS中实现公钥操作。