在我们的登录页面中输入用户名密码,然后提交表格。密码进入服务器,使用某种算法将密码保存到服务器,然后保存到数据库。但是当它被发布到服务器时,它可以在firebug发布数据中看到。那么它是如何安全的我在其他情况下也看到过类似的实现。它不能被困在从客户端到服务器的时间之间。
答案 0 :(得分:3)
Firebug可以看到密码,因为它充当客户端的代理(通信路径的两个端点之一)。 SSL / TLS(https)对两个端点之间传输的数据进行加密(将其视为受保护的隧道,其中查看内部实际数据的唯一方法是在其中一个端点上)。由于Firebug在客户端上运行,因此它可以访问端点,其中数据未加密。想想一个可以传输数据的隧道,它将在传输中受到保护; Firebug坐在那条隧道的入口处,所以它可以看到所有进入(并出来)的东西。
至少应该通过SSL / TLS发送密码(和任何其他敏感数据),以防止不在隧道端点上的某人/某些东西看到数据。理想情况下,您需要通过https运行所有内容以防止会话劫持攻击(您可以阅读有关in the Wikipedia summary的所有内容)。任何不加密凭证(密码等)交换的站点都不遵循行业最佳实践,应被视为不安全的实现。
答案 1 :(得分:1)