lato client e password hash lato server [duplicato]

-1

Un'altra domanda sull'hash della password lato client o server, lo so. Dopo aver letto molti altri post su questo argomento sono ancora un po 'confuso e non completamente sicuro di quale sia il migliore, perché leggo molte opinioni contrastanti.

Utilizzando un certificato SSL, questo è quello che farò, sono giunto alla conclusione che non vale la pena usare la password in javascript.

Tuttavia, invece di inviare la password in chiaro al server, avrebbe senso "camuffare" la password in javascript, (ad esempio sostituendo lettere e numeri con altri in base a un modello personalizzato), e quindi ricostruire la password originale nel server usando lo stesso pattern, quindi hash la password e la memorizza nel db o questo non aggiungerebbe molta più sicurezza?

    
posta user3689598 02.09.2014 - 10:23
fonte

1 risposta

3

Stai fraintendendo lo scopo di TLS (https). Se si dispone di una connessione https a quel server, significa che tutto il traffico viene crittografato durante il trasporto dal client al server. Questo include tutte le credenziali.

Per quanto riguarda il "camuffamento" delle password sul lato client con qualche rudimentale rotazione e sostituzione della charter - ciò non aggiungerebbe alcuna sicurezza al processo, come spiegato in dettaglio in questo post.

    
risposta data 02.09.2014 - 14:06
fonte

Leggi altre domande sui tag