qwong 最近的时间轴更新 qwong 最近的时间轴更新 |
qwongV2EX 第 45750 号会员,加入于 2013-09-21 18:20:17 +08:00 |
qwong 最近回复了
245 天前 回复了 userKamtao 创建的主题 › 程序员 › 盼大佬解答,前端加密到底是不是脱裤子放屁? |
[網站前端打 API 時把密碼加密,有意義嗎?]( https://blog.huli.tw/2023/01/10/security-of-encrypt-or-hash-password-in-client-side/)
分享一下这篇文章,里面讲的很清楚了。
顺便摘录一下作者的观点:
1. 在 client 端传送密码前先把密码加密或是 hash ,确实能够增加安全性。
因为:
- HTTPS 因为各种原因失效时,攻击者无法取得明文密码
- 在 Server 端,没有任何人知道使用者的明文密码
- 明文密码不会因为人为失误被记录到 log 中
2. 以技术上来说,就算理论上一定会被破解,这些机制还是有意义的,它的意义在于增加破解难度,加壳、混淆都是一样的,不会因为「在 client 端的东西一定会被看穿」而不去做这些机制。
3. 重点在于你想保护的商业逻辑的价值,有没有高到你需要付出这些成本去做额外的安全机制
分享一下这篇文章,里面讲的很清楚了。
顺便摘录一下作者的观点:
1. 在 client 端传送密码前先把密码加密或是 hash ,确实能够增加安全性。
因为:
- HTTPS 因为各种原因失效时,攻击者无法取得明文密码
- 在 Server 端,没有任何人知道使用者的明文密码
- 明文密码不会因为人为失误被记录到 log 中
2. 以技术上来说,就算理论上一定会被破解,这些机制还是有意义的,它的意义在于增加破解难度,加壳、混淆都是一样的,不会因为「在 client 端的东西一定会被看穿」而不去做这些机制。
3. 重点在于你想保护的商业逻辑的价值,有没有高到你需要付出这些成本去做额外的安全机制
2023-11-14 12:48:05 +08:00 回复了 lijianmin321 创建的主题 › 分享创造 › V 站老哥太热情了, Airy 永久会员加送 9000,凑到 1 万 |
支持一下
2023-10-27 12:53:51 +08:00 回复了 aduangduang 创建的主题 › 问与答 › 运气到底存不存在? |
2019-02-05 09:15:48 +08:00 回复了 zhuzhezhe 创建的主题 › 2019 › 我还活着,各位新年快乐 |
新年快乐!早日康复!
2016-12-30 22:09:53 +08:00 回复了 silvernoo 创建的主题 › 晒晒更健康 › 一年又一年,大家来晒下 2016 年已入的装备和 2017 年想入的装备吧!? |
2016: MBP
2017: 🚗
2017: 🚗
66
2016-07-17 11:07:24 +08:00 回复了 okevin 创建的主题 › Android › 请问哪里能买到便宜的 nexus 机? |
5x 电池不够用
2016-05-11 20:40:01 +08:00 回复了 egonetworks 创建的主题 › 推广 › 我们的活动没那么复杂,留言抽奖送 T 恤 |
有一件去年 ArchSummit 参加活动送的,再来一件看下样式变了没 :-D
2016-04-04 20:24:23 +08:00 回复了 aldnoah 创建的主题 › 信息安全 › 听说学信网被脱裤啦~ |
2015-12-29 06:53:44 登录成功 116.127.145.112, 115.148.46.21
2015-12-28 19:57:10 登录成功 78.223.181.243, 69.175.71.162
看来至少在去年年底就被脱了... Orz
2015-12-28 19:57:10 登录成功 78.223.181.243, 69.175.71.162
看来至少在去年年底就被脱了... Orz
Select Language