从我在网站上看到的很多帖子,由AJAX或传统形式执行的登录是一样安全的。 (RE:Login/session cookies, Ajax and securityAjax login and javascript cookies, is this secure?)JavaScript哈希在AJAX登录调用,更安全?
我的问题(S)是/是:
如果我哈希(通过客户端/ JavaScript的哈希 库)用户的密码之前,我把它发送到服务器,我是否增加了人员安全度?
如果我放置一个表单令牌(一个随机基础,另一个基于时间),那么是否涵盖CSRF攻击?
其实这可能是一个主要的安全问题。密码被散列的原因是计划失败的一种手段。攻击者可能访问数据存储(sql注入),然后获得散列。如果您只是使用哈希登录,那么攻击者不必破解已恢复的哈希以访问应用程序。
重播攻击也是一个问题。如果我在认证期间嗅探哈希,什么阻止我重播该请求进行身份验证?
使用消息摘要功能进行身份验证的协议为客户端提供了一个随机数,用作一次性salt。微软的SMB NTLM身份验证就是一个很好的例子,但它有a lot of problems。
USE SSL,而不仅仅是登录。 OWASP A9指出会话ID绝不能通过不安全的通道泄露。毕竟谁在乎密码,如果你只是在几毫秒后泄漏真正的认证证书。
大多数人不会为登录实施CSRF保护。毕竟攻击者首先必须知道密码,所以“会议骑行”是一个有争议的问题。
稍微放一边,但在回答问题3。另外请记住,AJAX和标准格式也就像不安全一样。
实施安全认证非常困难。除非你是做学术练习,否则我会强烈建议使用你的框架提供的库,如果你有足够的幸运有一个好的。
您还需要考虑诸如以下等事情。
这太棒了!是否在PHP的session_start()函数中内置了“确保2个会话不能同时具有相同的会话ID”? –
@JosephSzymborski是的。你可能会发现这个有趣的重新php http://phpsec.org/projects/guide/4.html – Cheekysoft
如果您需要发送密码(并且如果可能的话,还有其他所有情况,也有登录会话cookie),请使用SSL。 – Thilo