V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
xiluo
V2EX  ›  问与答

网站密码一般是如何实现密文传输的

  •  
  •   xiluo · 2011-12-30 14:03:09 +08:00 · 11497 次点击
    这是一个创建于 4703 天前的主题,其中的信息可能已经有所发展或是发生改变。
    是需要在客户端加密,还是直接就是input type=password就传了?
    11 条回复    1970-01-01 08:00:00 +08:00
    delectate
        1
    delectate  
       2011-12-30 14:04:19 +08:00
    https协议,客户端加密,然后传输过来密文。
    xiluo
        2
    xiluo  
    OP
       2011-12-30 14:06:20 +08:00
    @delectate
    如果是http协议呢
    feiandxs
        3
    feiandxs  
       2011-12-30 14:07:17 +08:00
    @xiluo 可以本地js先进行简单加密。这个方法是很容易破,但仍然有它的存在价值。
    Kobe
        4
    Kobe  
       2011-12-30 14:49:17 +08:00
    让你失望了 HTTP 都是明文传输的。
    avichen
        5
    avichen  
       2011-12-30 15:43:25 +08:00
    如果是http://,客户端到服务器是明文传输的
    如果是https://,客户端到服务器是加密传输的
    zhuoqiang
        6
    zhuoqiang  
       2011-12-30 22:30:07 +08:00
    可以看看拙作:
    http://zhuoqiang.me/a/password-transport

    简单来说:

    * 最安全的是 HTTPS
    * 次安全的是 Javascript 客户端的不可逆加密
    * 一年前就分析过 天涯 人人网等, 都是用的最不安全的 HTTP 明文直接传密码.

    前台都如此, 那后台直接存明文密码就不奇怪了.
    avichen
        7
    avichen  
       2011-12-30 22:37:12 +08:00
    @zhuoqiang 关于前台用http传送这是一个很正常的方式,没觉得有多奇怪,因为一般网站没有这么高的加密要求。
    至于数据库存明文,那就是一个标准的安全管理不到位层面的问题了。
    所以“前台都如此, 那后台直接存明文密码就不奇怪了.”,这句话我觉得是不正确的,因为他们之间是没有必然联系的。
    zzNucker
        8
    zzNucker  
       2011-12-30 22:52:44 +08:00
    同觉得 前台明文没觉得有什么太大的错误
    局域网被嗅探跟网站本身本来就没多大关系
    zhuoqiang
        9
    zhuoqiang  
       2011-12-30 22:52:55 +08:00
    @avichen 说的没错, 明文HTTP传密码对普通网站的确很正常. 但是一想到随便 sniffer 一下, 或是中间任何 proxy 都能拿到你的密码明文, 会让人心里不舒服. 所以对这种明文传密码的网站最好别用比较机密的密码.

    后台存不存密码明文跟前台也确实没关系. 我只是对国内做网站的随便乱来气不过胡扯一句罢了, 见笑.
    9hills
        10
    9hills  
       2011-12-30 23:07:56 +08:00
    SSL证书也不贵,为啥不用SSL呢。。。如果是小站,不如直接用Google/Weibo/QQ登录。。
    wangg800
        11
    wangg800  
       2011-12-31 10:12:05 +08:00
    你可以前台加密后传输, 可以参考sina , qq等网站. 如:md5.js, 实现前台md5等不可逆加密.
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2013 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 22ms · UTC 16:17 · PVG 00:17 · LAX 08:17 · JFK 11:17
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.