防止密码在客户工作站被代理/工具篡改？

Question

最近，我们的网络应用程序已经通过了审核。审计师得出如下结论：

尽管SSL已经实现和实施，但这只意味着存在网络加密(也就是说，如果有人使用网络嗅探工具，数据将不会以明文形式出现)。然而，在端点--意思是客户机工作站--可能被代理或监视工具篡改了。如果是这样的话，在登录期间不实现应用程序加密或更改/重置密码将允许在明文中看到用户凭据。

是否有任何标准程序/实践可用于解决此类安全问题？客户端JavaScript加密/哈希值值得考虑吗？

注:这是一个JavaEE应用程序(Struts+EJB)，只处理数据检索( i，e查询系统)。

Answer 1

SSL加密有助于避免网络嗅探和拦截攻击，如中间人攻击。但是如果截取发生后，则需要在客户端进行加密。

Answer 2

是的..最好是散列凭据，这样即使攻击者使用代理，他/她也无法理解正在传递的数据。