[英]Handle Plaintext Passwords… Safely
我正在一個網站上進行簡明扼要地從網站B輸出數據的網站,這比手動登錄並在網站B上查找所有內容所需的速度更快。
它需要任何用戶都可以使用。 目前它可以使用,但是要求用戶使用來自網站B的憑據登錄到我的網站。網站B沒有API,這是我想到的唯一方法。 顯然,這並不理想,因為用戶名和密碼是通過get請求以明文形式發送到我在網站上擁有的php腳本的,並進行了一些網絡抓取。 我還可以選擇將密碼(以純文本格式)存儲在用戶cookie中,以使用戶保持登錄狀態。
我不是親自為他們存儲密碼,但是任何開發人員都可以更改其后端,以在有惡意意圖的情況下以純文本格式存儲密碼。 由於我沒有惡意的意圖,並且歸結為用戶是否信任該網站,所以我更擔心攻擊者可能會從用戶Cookie或請求中獲取這些密碼。
我已經考慮過哈希或加密,但是兩者都要求它能夠輕松地將它們轉換回純文本密碼(允許任何攻擊者像我的系統一樣容易地找到它),以便可以將它們輸入到網站B中進行網絡抓取。
這是一個難題,老實說,我想不出更好的解決方案。 有什么事情可以做的,至少可以使它更加安全嗎?
簡短的答案是,您不能安全地執行此操作:
這正是API存在的原因。 如果不存在,請聯系遠程網站並嘗試說服他們,為什么擁有一個很重要。 如果對您確實很重要,請提供編碼。
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.