简单场景:
1.我的客户想登录我的网站。他转到http://mywebsite.com
2.输入他的用户/通行证并提交
3.我们去https。
问题:
NOT在客户端使用javascript加密用户/通行证有多不安全
这意味着用户/通行证在网络上按原样发送
怎么会有人来接他们
如果有人能把它们捡起来,建议加密吗
如果是这样的话,有什么推荐的方法可以做到无痛?
谢谢!
如果表单发布到的操作是HTTPS,那么发布到它的操作应该在传输层中加密。不需要使用javascript进行加密。事实上,如果您确实使用javascript来加密密码,那么攻击者删除该javascript以使凭据不加密发送是很简单的。
和所有人一样,我建议在服务器中只使用HTTPS。然而,我正在查看我银行页面的源代码。。。我注意到,在发送之前,他们在字段中使用了脚本,例如,仅使用javascript"隐藏"帐号和密码。我认为在某些情况下避免"不安全"是有效的,因为当数据离开您的机器时,SLL/TLS(TCP和HTTPS之间的层)协议提供了"安全性"。但是,如果你的SO感染了某种东西,也许这个"东西"可以在操作系统使用TLS/SLL之前"分析"浏览器输出产生的网络流量。
无论如何,如果有人感兴趣,Javascript中有一些库可以做脚本学!
例如,这个:
http://crypto.stanford.edu/sjcl/
我的答案是试图表明有一个重点是防止恶意软件将能够了解您的浏览器和操作系统之间的流量。