网站似乎在不将密码发送到服务器的情况下登录用户; 这是如何运作的?
[英]website seemingly logs users in without sending the password to the server; how does this work?
问题描述
在恒星网站FAQ( https://www.stellar.org/faq/#_Why_does_my_client_log_me_out_on_refresh_ )上显示以下内容
您的密码永远不会发送到我们的服务器:而是在您当前的浏览器窗口中使用它来解密您的密钥。 这样,我们将永远无法访问您的恒星。 我们选择不将此密码存储在本地,以便不会将其写入本地磁盘(根据用户需求,我们可以添加在本地缓存密码的功能)。
这项工作究竟如何(或可能)进行? 通常的工作流程是将密码发送到服务器,然后由服务器对其进行哈希处理并将其与存储在用户数据库中的哈希进行比较。 我无法通过仅在客户端执行此操作(安全)的方式...
1 个解决方案
解决方案1
2 已采纳 2014-11-03 15:53:31
我会拍照,在注册期间工作流程如下:
- 我输入密码并提交表格。
- 这会将请求发送到服务器以获取KEY。
- 密钥将返回并在客户端使用密码进行加密。
- 加密密钥发送到服务器。
- 加密密钥存储在数据库中。
登录期间:
- 我输入我的凭据并提交表格。
- 这会将请求发送到服务器以获取我的密钥。
- 密钥返回并在客户端使用密码解密。
- 大概在这一点上,某种“授权”消息或信号以某种方式发送回了服务器,或者甚至还可能是未加密的密钥?
您询问这种安全性,但事实并非如此。 在他们的常见问题解答中,他们专门说了这句话,以说明他们为什么不能帮助您检索密码,它确实保护了密码,但是却不保护您的帐户。
任何有权访问数据包嗅探器的人都可以获取加密密钥,并且根据加密级别的不同,有可能将其打开。 假设将所有加密和解密代码都传递给客户端以在注册或登录期间执行,我相信假冒返回到服务器以验证登录的加密数据是一个笑话。
但这至少是可以想象的。
浏览器始终掌握在敌人手中!
在没有HTTPS的情况下(不发送密码)对服务器进行安全身份验证的质询/响应方法是什么?
[英]What is the challenge/response method to securely authenticate with a Server without HTTPS (without sending out password)?
即使未将密码发送到服务器,如何使浏览器保存密码
[英]How to get the browser to save the password even though it's not sending it to server
如何在不丢失套接字连接的情况下将用户导航到网站中的其他页面?
[英]How to navigate users to other pages in the website without losing socket connection?
如何在将文件上传到服务器之前验证用户发送的文件? - Javascript
[英]How to validate files users are sending before uploading it to a server? - Javascript
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.