也许标题是措辞严厉,但想不出更好的表达方式。使用AJAX发送纯文本密码有多安全?
我目前在登录系统上工作(没有正式的,只是试验),并计划使用PHPLiveX(一个AJAX库)的一些功能。基本上你创建了一些PHP函数,然后通过JavaScript调用。您可以将参数(getElementById)添加到传递到PHP函数的JavaScript中。
我真正想知道的是,只要先调用JavaScript函数而不先加密密码,然后让PHP函数加密它(本例中是SHA256),是否安全。可以通过AJAX传输的数据被拦截吗?如果是这样的可能性有多大?
除了使用SSL之外,什么是保证这一点的最佳方式?如果可以在JavaScript中加密密码,这是一个可重用的解决方案吗? – j82374823749 2009-07-17 19:15:29
如果在JavaScript中对密码进行哈希处理,那么任何嗅探流量的人都会看到它(它只会被哈希)。攻击者可以使用哈希密码来重播此请求 – 2009-07-17 19:27:13
而SSL将解决此问题? – j82374823749 2009-07-17 19:31:03