Scambio sicuro di chiavi nel web tra le pagine

Prima di tutto, memorizzare le password lato client è un grande no-no, perché sono disponibili come testo normale, il tuo sito non è sicuro in base alla progettazione se lo fai.

Quello che dovresti fare è cercare i meccanismi per ottenere le chiavi che ti servono, ad esempio all'accesso non solo autentichi l'utente ma generi anche la chiave Diffie-Hellman per il messenger e la memorizzi in una variabile di sessione, puoi recuperarlo in seguito, se necessario.

La password dovrebbe essere utilizzata nella maggior parte dei casi per generare un hash sicuro al fine di verificare l'identità dell'utente rispetto a un database dopo l'accesso, non dovrebbe mai essere memorizzata o trasmessa in testo semplice.

Se hai fornito ulteriori dettagli sulle tecnologie, potremmo darti altri esempi relativi alla tua situazione specifica.

Basta usare TLS, per favore. Cercare di ottenere la propria sicurezza in questo modo è una ricetta per il disastro. Veramente. Come legge Scheiner va ogni persona può inventare un sistema di sicurezza così intelligente che lei o lui puo ' Pensa a come romperlo. Anche se tu fossi il più intelligente di tutti i crittografi mai esistito (nel qual caso non lo chiederesti davvero), è improbabile che tu riesca a farlo bene - ci vollero decenni perché centinaia di persone più intelligenti riuscissero a inventare TLS, e ancora ha i bordi grezzi.

Quindi, se vuoi avere la possibilità di renderlo sicuro, usa TLS (come mostrato in questa e nelle precedenti domande). Anche l'uso sicuro di TLS senza esporsi a una dozzina di attacchi (canale laterale, xss, ecc.) È difficile. Senza di esso, è praticamente impossibile. E se la sicurezza non è davvero il tuo obiettivo, allora basta offuscarla con ROT13, o Base64, o XORing con password hardcoded o qualche altro schema veloce e facilmente risolvibile e farla finita con te - almeno non ti cullerai con il falso senso di sicurezza.