通过HTTPS进行客户端哈希/盐析
我想知道以下设置存在哪些严重问题:
用户名/密码登录方案
Javascript / ajax从服务器请求salt值(我们在之前的问题中建立了salt不是秘密值)
Javascript预先生成密码和salt的SHA1(或其他)。
Javascript / ajax将哈希值返回给服务器
服务器在通过ajax发送的那个上应用另一个salt / hash。
交易通过HTTPS进行。
我担心可能存在的问题,但无法说服自己这是一个糟糕的设置。假设所有用户都需要启用javascript,因为jQuery在网站上被大量使用。它基本上是尝试在密码的纯文本中添加额外的安全层。
没有找到相关结果
已邀请:
5 个回复
暑袜眠退
朗排谎纷瘟
坝胺绣敝
臀博
昧伎