窃取我的帖子数据

Question

好吧，这可能是非常基本的，但在这个发展阶段，它的影响对我来说很重要。我感谢大家的意见和讨论。

此示例中的数据不受SSL加密的保护。

page1.php/asp包含一个表单，它将变量username和password发布到page2.php/asp。

• 任何地方的人只要监听我的帖子数据就能截获它，也许可以使用一些第三方软件，比如Firesheep?

。

如果上述问题属实：

我应该总是考虑到我的未加密的帖子数据可以免费提供给任何人吗?在我的网站上，标准的登录表单仅仅是描述一个甚至不是there?

• Should的安全层的伎俩吗?然后，我认为登录功能只是我个性化用户experience?

• Does的一种方式，鼓励用户不要使用正常(假定更安全)的密码是有意义的，因为在注册和登录过程中它不会受到保护？

我思考这些问题，我感谢任何意见和反馈。

Answer 1

任何地方的人只要监听我的帖子数据就能截获它，也许可以使用一些第三方软件，比如Firesheep？

不，交通必须经过他们附近。

如果上述问题为真，则为

：

没有，但即使如此。

我应该总是考虑我的未加密的帖子数据可以免费提供给任何人吗？

除非它只通过局域网传播，否则是的。如果它只穿越局域网，那么添加限定符“only”，答案将是肯定的。

是我网站上的标准登录表单，只是用来描述一层根本就没有的安全层吗？

不是

是否应该考虑登录功能，将其作为个性化用户体验的一种方式？

当然，如果没有加密，你就不应该做任何严肃的事情。

鼓励用户不要使用他或她的正常密码(假设更安全)有意义吗?因为在注册和登录过程中它不会受到保护吗？

对任何系统来说，这样做都是有意义的。即使通信是安全的，您的服务器在将来也可能被破坏，或者第三方系统可能会被破坏，然后那里的数据被用来攻击您的系统。

Answer 2

当用户通过未加密的HTTP提交登录表单时，通过一系列路由将其数据发送到您的服务器。在这些路线中的任何一条，是的，有人可以嗅到这些数据。此外，如果用户的机器被感染，黑客可以在本地嗅探数据。

如果这是一个登录表单，您应该使用SSL，句号。还要确保您的数据库中的用户密码是加密的。登录的过程应该是：

使用用户名和password

• Server通过HTTPS提交登录，recommended

• Server接受密码并对其应用散列算法，通常使用MD5，尽管SHA256之类的强大功能是将加密的值与数据库

中的加密值进行比较。

这样的话，如果你的数据库被黑了，密码就很难弄清楚(除非他们使用了一些基本的东西，比如“密码”，但那是他们的错)。

鼓励用户不要使用他或她的正常密码(假设更安全)是否有意义，因为它不会受到保护？

你就会把用户赶走。

Answer 3

是。任何能够看到数据包通过的人都可以看到用户名和密码。这使得它在开放的、共享的Wi网络等上特别容易受到攻击。

我想说，所有的假设都是正确的，这就是为什么在服务之间共享密码是一种糟糕的做法，特别是在这些服务具有不同级别的安全性的情况下。

如果可以的话，我建议您使用SSL登录，部分原因是很多用户会忽略您给他们的任何关于使用通用密码的建议，部分原因是这只是一个良好的实践。在像Firesheep这样的东西变得“正常”的人如此容易使用之前，这是一个很好的实践，现在它甚至更重要了。