[英]website seemingly logs users in without sending the password to the server; how does this work?
在恒星网站FAQ( https://www.stellar.org/faq/#_Why_does_my_client_log_me_out_on_refresh_ )上显示以下内容
您的密码永远不会发送到我们的服务器:而是在您当前的浏览器窗口中使用它来解密您的密钥。 这样,我们将永远无法访问您的恒星。 我们选择不将此密码存储在本地,以便不会将其写入本地磁盘(根据用户需求,我们可以添加在本地缓存密码的功能)。
这项工作究竟如何(或可能)进行? 通常的工作流程是将密码发送到服务器,然后由服务器对其进行哈希处理并将其与存储在用户数据库中的哈希进行比较。 我无法通过仅在客户端执行此操作(安全)的方式...
我会拍照,在注册期间工作流程如下:
登录期间:
您询问这种安全性,但事实并非如此。 在他们的常见问题解答中,他们专门说了这句话,以说明他们为什么不能帮助您检索密码,它确实保护了密码,但是却不保护您的帐户。
任何有权访问数据包嗅探器的人都可以获取加密密钥,并且根据加密级别的不同,有可能将其打开。 假设将所有加密和解密代码都传递给客户端以在注册或登录期间执行,我相信假冒返回到服务器以验证登录的加密数据是一个笑话。
但这至少是可以想象的。
浏览器始终掌握在敌人手中!
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.