1
我目前正在使用不允许https连接的免费主机,由于我的网站没有托管任何敏感或私人内容,因此我不会升级到付费托管服务具有。但是由于我的网站确实处理密码,并且由于许多用户对不同的网站使用相同的密码,我希望在处理这些密码时提供合理的安全/加密数量。使用Javascript/PHP验证公共密钥
从Secure login: public key encryption in PHP and Javascript,看起来最大的问题在使用密码的公钥/私钥加密技术来保护它,当它通过网络发送的将是一个攻击者可以修改发送到客户端的公钥,然后拦截加密的密码,用攻击者的私钥解密,然后使用该站点的公钥将其加密,然后将其发送到站点,实质上首先破坏了加密它的整个点。
当然,任何加密都比不加密更好,但是我希望尽我所能无需购买支持HTTPS的托管服务,这使我能够回答我的问题。
是否有任何可靠的方法来防止(或只是检测到&提醒用户)中间人从替换他们自己的公钥取代我的网站的公钥?或者有什么方法可以验证服务器发送的公钥是否真的是服务器的公钥?如果无法验证这一点,那么SSL/TLS如何工作,以及他们如何验证密钥(如果SSL不使用公钥/私钥,我对此有相当有限的理解)。
我已经明白,与使用TLS/SSL相比,加密表单数据是一项极其薄弱的做法,并且不会阻止那些决定破解加密的人,因此请避免出现任何“你应该使用HTTPS“ - 只有评论(尽管如果你知道一个免费的托管服务提供商,允许HTTPS,我会更乐意听到他们)
我还没有尝试过,但这已经出现了几次:http://www.switchonthecode.com/tutorials/secure-authentication-without-ssl-using-javascript – Brad 2012-08-02 20:26:26
[This](http:///security.stackexchange.com/questions/1322/can-you-secure-a-web-app-from-firesheep-without-using-ssl)可能会有所帮助。 (从security.stackexchange.com链接)。 – Matt 2012-08-02 20:27:29
谢谢布拉德和马特 - 我会看看那些:) – MatthewSot 2012-08-02 20:35:41