加密HTML表单

Question

我写了一个简单的演示html (SSL启用)表单，通过它访问一些大学服务。它要求用户首先使用他的大学ID登录。

我的问题是，如何加密登录数据，即使我是这个页面的所有者？有可能吗？这样用户就可以放心地使用它了。

Answer 1

您可以使用HTTP Digest Authentication，它执行质询-响应身份验证，并始终以散列方式发送密码。

Digest的问题是，它的用户界面很难看，注销要由浏览器决定(你不能有一个可靠的注销链接)。

或者，您可以在JavaScript中实现自己的挑战-响应机制，例如http://code.google.com/p/crypto-js/

但这是没有意义的，因为用户不能保证您正在这样做，而且您不会在将来用不安全的脚本替换安全的脚本。作为网站所有者(或黑客)，您可以随时更改脚本并“窃取”密码。

SSL是好的。这是你在客户端所能做的最好的真正的安全性。

您可以确保将密码安全地存储在服务器端-使用bcrypt (而不是md5/sha1)等慢速哈希对其进行散列，并对每个密码使用唯一的盐。