В настоящее время я работаю над провайдером PHP OpenID, который будет работать через HTTPS (следовательно, SSL зашифрован).
Неправильно ли мне передавать пароль в виде обычного текста? HTTPS в теории, нельзя перехватить, поэтому я не вижу ничего плохого. Или это небезопасно на каком-то уровне, и я не вижу этого?
Обычный текстовый пароль через HTTPS
Ответ 1
Это безопасно. Как работает вся сеть. Все пароли в формах всегда отправляются в виде обычного текста, поэтому его можно сохранить до HTTPS.
Ответ 2
Вам все равно нужно убедиться, что вы отправляете его через запрос POST, а не GET. Если вы отправляете его с помощью запроса GET, его можно сохранить в виде открытого текста в журналах истории браузера пользователя или в журналах доступа к веб-серверу.
Ответ 3
Если HTTP отключен, и вы используете только HTTPS, то вы все равно не передаете пароль как обычный текст.
Ответ 4
Другие плакаты верны. Теперь, когда вы используете SSL для шифрования передачи пароля, убедитесь, что вы хешируете его с помощью хорошего алгоритма и соли, поэтому он защищен, когда он в состоянии покоя, тоже...
Ответ 5
Клиентский клиент hash. Зачем? Позвольте мне рассказать вам о небольшом эксперименте. Подходите к компьютеру в столовой компании. Откройте браузер на странице входа в веб-сайт компании (https). Нажмите F12, откройте вкладку "Сеть", откройте журнал останова, уменьшите консоль, но оставьте веб-страницу открытой для входа в страницу. Сядьте и пообедайте. Наблюдайте за сотрудниками после того, как работник входит в систему на веб-сайт компании и, будучи готовым, становится хорошим маленьким рабочим. Закончите обед, сядьте за компьютер, занесите вкладку в сеть и посмотрите каждое имя пользователя и пароль в виде простого текста в форме bodys.
Никаких специальных инструментов, никаких специальных знаний, никаких причудливых хакерских аппаратных средств, без клавиатурных шпионов просто старый добрый F12.
Но эй, продолжай думать, что все, что тебе нужно, это SSL. Плохие парни будут любить вас за это.