[英]Stealing my POST data
好吧,这可能是非常基本的,但在这个发展阶段,这对我来说很重要。 我感谢任何意见和建议。
此示例中的数据不受SSL加密保护。
page1.php/asp
包含一个表单,用于将变量username
和password
POST到page2.php/asp
。
如果上述问题呈现为TRUE:
我在思考这些问题,感谢任何意见和反馈。
当用户通过未加密的HTTP提交登录表单时,他们的数据将通过一系列路由发送到您的服务器。 在任何一条路线上,是的,有人可以嗅探数据。 此外,如果用户的计算机被感染,黑客可能会在本地嗅探数据。
如果是登录表单,则应使用SSL,句点。 还要确保在数据库中加密用户的密码。 登录过程应该是:
这样,如果您的数据库被黑客入侵,那么密码非常难以弄明白(除非他们使用像'密码'这样的基本内容,但那时他们的错误就是这样)。
鼓励用户不使用他或她的正常(假设的更安全)密码是否有意义,因为它不会受到保护?
你会把用户赶走。
是。 任何可以看到数据包通过的人都可以看到用户名和密码。 这使得它在开放的共享Wi-Fi网络等上特别容易受到攻击。
我会说你所有的假设都是正确的,这就是为什么在服务之间共享密码是不好的做法,特别是那些服务具有不同安全级别的情况。
如果可以的话,我建议你转到SSL登录,部分原因是因为很多用户会忽略你给他们使用通用密码的任何建议,部分原因是因为这只是一个好习惯。 在像Firesheep这样的事情变得如此容易让“普通”人们使用之前,这是一种很好的做法,现在它更加重要。
来自任何地方的任何人都可以通过收听它来拦截我的POST数据,可能还有像Firesheep这样的第三方软件吗?
不,交通必须靠近他们。
如果上述问题呈现为TRUE:
它没有,但即便如此。
我是否应该始终认为我的未加密的POST数据可以免费提供给任何人?
除非它只通过局域网,否则。 如果它只通过LAN传输,那么在“局域网”上添加限定符,答案为是。
我网站上的标准登录表单只是描述一层甚至不存在的安全层吗?
没有
我是否应该将登录功能视为个性化用户体验的一种方式?
当然,如果没有加密,你不应该做任何严肃的事。
鼓励用户不使用他或她的正常(假设的更安全)密码是否有意义,因为在注册和登录过程中它不会受到保护?
对任何系统都这样做是有意义的。 即使通信是安全的,您的服务器将来也可能会受到攻击,或者第三方系统可能会被攻陷,然后用于攻击您系统的数据。
我是否应该将登录功能视为个性化用户体验的一种方式? 鼓励用户不使用他或她的正常(假设的更安全)密码是否有意义,因为在注册和登录过程中它不会受到保护?
这取决于使用登录表单的网站。 大多数大型网站(例如Gmail)都使用https进行登录身份验证,然后切换到http。 (有报道称此交换机还引入了一些漏洞。)其他站点在隐藏表单字段中发送salt值。 您的原始密码将替换为salt和hash。 在服务器上重复相同的操作,以确保您已发送正确的密码。 这发生在场景后面,因此用户无法确定是否未加密发送。 预计有很好的网站可以做到这一点。 普通网站可能不这样做。 路由器和调制解调器的许多配置页面不使用加密或混淆。
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.