网站密码一般是如何实现密文传输的

2011-12-30 14:03:09 +08:00
 xiluo
是需要在客户端加密,还是直接就是input type=password就传了?
11536 次点击
所在节点    问与答
11 条回复
delectate
2011-12-30 14:04:19 +08:00
https协议,客户端加密,然后传输过来密文。
xiluo
2011-12-30 14:06:20 +08:00
@delectate
如果是http协议呢
feiandxs
2011-12-30 14:07:17 +08:00
@xiluo 可以本地js先进行简单加密。这个方法是很容易破,但仍然有它的存在价值。
Kobe
2011-12-30 14:49:17 +08:00
让你失望了 HTTP 都是明文传输的。
avichen
2011-12-30 15:43:25 +08:00
如果是http://,客户端到服务器是明文传输的
如果是https://,客户端到服务器是加密传输的
zhuoqiang
2011-12-30 22:30:07 +08:00
可以看看拙作:
http://zhuoqiang.me/a/password-transport

简单来说:

* 最安全的是 HTTPS
* 次安全的是 Javascript 客户端的不可逆加密
* 一年前就分析过 天涯 人人网等, 都是用的最不安全的 HTTP 明文直接传密码.

前台都如此, 那后台直接存明文密码就不奇怪了.
avichen
2011-12-30 22:37:12 +08:00
@zhuoqiang 关于前台用http传送这是一个很正常的方式,没觉得有多奇怪,因为一般网站没有这么高的加密要求。
至于数据库存明文,那就是一个标准的安全管理不到位层面的问题了。
所以“前台都如此, 那后台直接存明文密码就不奇怪了.”,这句话我觉得是不正确的,因为他们之间是没有必然联系的。
zzNucker
2011-12-30 22:52:44 +08:00
同觉得 前台明文没觉得有什么太大的错误
局域网被嗅探跟网站本身本来就没多大关系
zhuoqiang
2011-12-30 22:52:55 +08:00
@avichen 说的没错, 明文HTTP传密码对普通网站的确很正常. 但是一想到随便 sniffer 一下, 或是中间任何 proxy 都能拿到你的密码明文, 会让人心里不舒服. 所以对这种明文传密码的网站最好别用比较机密的密码.

后台存不存密码明文跟前台也确实没关系. 我只是对国内做网站的随便乱来气不过胡扯一句罢了, 见笑.
9hills
2011-12-30 23:07:56 +08:00
SSL证书也不贵,为啥不用SSL呢。。。如果是小站,不如直接用Google/Weibo/QQ登录。。
wangg800
2011-12-31 10:12:05 +08:00
你可以前台加密后传输, 可以参考sina , qq等网站. 如:md5.js, 实现前台md5等不可逆加密.

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/24668

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX