我认为Javascript是一个安全隐患,因此我希望允许我的网站用户在无需启用Javascript的情况下登录。安全的用户认证,不需要javascript
这给我带来了另一个问题。如果没有客户端脚本,我不知道如何在客户端散列用户密码,以避免明文密码传输。 “纯HTML + CSS”如何让我有密码散列。
目前在我看来,唯一安全的选择(没有Javascript)将是一个安全的(加密的)SSL/HTTPS连接并发送密码为纯文本?
无论如何:有没有某种方法来散列用户密码,以避免以明文形式通过互联网发送。这可能只使用客户端脚本?
[更新] 我知道SSL也许是最接近理想的方式。 (正如评论中提到的那样)总之。在任何时候,明文用户名和明文密码都不会通过不安全的通道发送时,这已经是一项安全改进。哈希也可以被嗅探,并且不存在安全(即加密)。但是,嗅探器无法获得用户名和密码的不相关版本。 =>优势在于用户不会公开他们的用户名/密码组合(可能在别处使用)。
毕竟它似乎没有“禁用脚本” - 对(spice)散列某些输入字段值的途径。所以我认为我的问题是无法解决的。
“SSL”响铃吗? SSL是为此目的而制作的。即使使用JS,HTML + CSS也没有真正的“安全性”。 – Joseph 2012-03-31 07:25:17
我会在JavaScript中实现加密,如果用户禁用JavaScript,我会通知他有关不安全的传输(使用HTML的noscript-tag:'')。 但仍然是最好的,我想最常见的解决方案是通过安全连接(HTTPS)传输。 – 2012-03-31 07:25:57
...或者使用HTTPS和客户端证书 – 2012-03-31 07:29:11