从我在网站上看到的很多帖子中,由
AJAX或传统表单执行的登录都是彼此安全的. (回复:
Login/session cookies,Ajax and security
Ajax login and javascript cookies,is this secure?)
我的问题是:
>如果我哈希用户的密码(通过客户端/ javascript哈希
库我)在将它发送到服务器之前,我是否增加了人们的安全性?
>如果我放置一个表单令牌(一个基于随机,另一个基于时间),这是否涵盖了CSRF攻击?
>在这之后我会覆盖所有基地吗?这种形式会安全吗?
解决方法
实际上这可能是一个重大的安全问题.密码被散列的原因是计划失败的一种方法.攻击者可能会获得对数据存储的访问权限(sql注入),然后获取哈希值.如果您只是使用哈希登录,则攻击者不必破解恢复的哈希以获得对应用程序的访问权限.
重播攻击也是一个问题.如果我在身份验证期间嗅探哈希,是什么阻止我重放该请求进行身份验证?
使用消息摘要功能进行身份验证的协议为客户端提供一个nonce,用作一次性salt.微软的SMB NTLM身份验证就是一个很好的例子,但它有a lot of problems.
使用SSL,而不仅仅是登录. OWASP A9声明必须永远不会在不安全的通道上泄露会话ID.如果您只是在几毫秒之后泄露真实的身份验证凭据,那么所有关心密码的人都会如此.
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。