有人说在登录ajax中使用纯文本可能会导致严重的安全问题。攻击者可以窃窃私语并进行分析,以获取一些有用的信息。他们如何实现破解?顺便说一句,如果我在登录ajax中使用RSA并返回“ OK”或“ failed”来判断用户是否可以通过,我是否需要加密返回字符串,例如“ OK”和“ failed”?
答案 0 :(得分:2)
使用AJAX作为传输登录应用程序的方式不会带来安全隐患。您发送登录数据的方式无关紧要;重要的是如何处理服务器上的数据。
Wireshark(或类似的工具)确实可以用来计算同一网络中某人发送的数据包(数据)。他们实质上可以看到从用户发送到服务器的所有内容。如果仅发送纯文本,则他们可以看到纯文本。
防止这种情况的最佳方法只是通过为您的网站获取HTTPS即可,HTTPS会使用TLS(或可能的SSL)自动加密数据。如果您想麻烦地设置完整的RSA加密,那可能就足够了……尽管我建议在此之上使用HTTPS。
不,您不需要加密来自服务器的响应,因为它不是敏感信息。您只是返回“ success” /“ failure”消息,这不是敏感信息。登录成功或失败。
答案 1 :(得分:2)
还有其他一些原因,但是,如果您想进一步了解登录安全性和最佳做法,请参见this link
虽然您不需要加密来自服务器的响应。