Way to hash password lato client senza javascript?

Naviga le tue risposte
2

Sto lavorando per implementare un sistema di login di base (lo so, non estendere la tua sicurezza, blah blah blah) usando PHP e MySQL. Tuttavia, non voglio che l'utente abbia bisogno di avere JavaScript abilitato, il che significa che quasi tutto il sollevamento pesante dovrebbe essere eseguito sul lato server. Quindi voglio hash la password dell'utente prima di inviarlo al server. Fondamentalmente, non voglio fare affidamento esclusivamente su https e ssl per prevenire gli attacchi MTM. Ma non voglio nemmeno usare JavaScript per l'hashing lato client.

Posso garantire che i dati che invio al server siano sottoposti a hash o altrimenti non in chiaro senza fare affidamento su JavaScript?

    
posta 23.12.2016 - 16:18
fonte

2 risposte

2

Non ti piacerà nessuna delle opzioni. Il motivo per cui le persone disabilitano JavaScript è proprio a causa della sua capacità di eseguire ogni sorta di istruzioni; le altre opzioni per l'esecuzione lato client (flash, applet java, silverlight) sono certamente disabilitate da qualcuno che disabilita JavaScript, perché sono ancora più potenti. I tuoi due requisiti sono in conflitto, quindi devi decidere quale è più importante.

    
risposta data 23.12.2016 - 17:48
fonte
0

Penso che non si capisca l'hashing di una password prima di essere inviati, ma fa in modo che la nuova password visualizzata dal server provi a verificare le credenziali di accesso. Una cosa potrebbe essere l'uso di chiavi pubbliche / private per crittografare il testo della password inviato.

    
risposta data 23.12.2016 - 20:40
fonte

Leggi altre domande sui tag

Come si possono annusare i pacchetti da uno switch? Come eseguire la firma in-browser dei dati con Javascript usando HMAC-SHA512?