请教一下关于 password_hash 的密码安全问题

2016-05-29 12:56:10 +08:00
 muziyue
由于 password_hash 只能用 php 验证,那客户端提交是不是用要配合 https 才行
如果没 https 的情况下, js 本地加密一下再 post 给 php 验证这样安全么?没用过这种加密,是不是应该这样用
8765 次点击
所在节点    PHP
43 条回复
JamesRuan
2016-05-30 17:43:28 +08:00
@xurubin 不懂呗。
安全其实是个无底洞,抛开应用谈安全都是耍流氓。
JamesRuan
2016-05-30 17:47:00 +08:00
@maxsec password_hash 还引入了“代价”,生成 hash 需要大量的 CPU 和内存,使得暴力破解的变得非常不经济。
param
2017-03-07 12:06:07 +08:00
从服务器传个 token 下来浏览器,提交的时候拿 token 当做盐来算 md5 。登录成功后这个 token 便失效,这样避免重放攻击。
但要劫持的话,可以直接给你加一段 JS ,让密码先提交到他的网站,这段 JS 甚至还能在各个网站通用,完全不需要人工劫持。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/282008

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX