怎么对信息进行加密 Web前端密码加密是否有意义?
Web前端密码加密是否有意义?
!密码的前端加密也是如此。
我们需要知道HTTP协议有两个特点:
信息在网络传输过程中是透明的。这时,如果在传输过程中被屏蔽,黑客们就像密码一样就会知道。
所以很多网站在不启用HTTPS时,也会对前端密码进行加密,比如腾讯QQ空间账号密码登录等网站。当我们输入密码时,在提交表单之后,我们经常会看到密码框中的密码长度突然变长。实际上,当我们提交表单时,前端会对密码进行加密,然后将值赋给password字段,因此密码框中似乎有更多的黑点。
当密码在前端加密时,即使信息在传输过程中被盗,第三方看到的也是加密的密码。他接受这个密码是没有用的,因为加密的字符串有时间和其他特性,当它被提交到其他计算机/IP上的服务器时无法验证。
最后,即使是web前端密码加密,也不能简单地用MD5来加密密码,必须在其中添加一些特征字符,同时还要限制加密的及时性,防止加密的密文一直有效。如果您可以使用HTTPS协议,请使用HTTPS协议。
https报文分析方法?
HTTPS消息本身已加密,Wireshark无法对其进行解析。因此,我们需要将HTTPS生成的随机数(premaster secret)提供给Wireshark,以便正确解释密文。
特定配置方法(Windows):
建立路径变量sslkeylogfile=C:ssl.key密钥
重新启动firebox/chrome,访问HTTPS网站,SSL会话密钥将自动生成
Wireshark中的configure:Edit-preferences-Protocol SSL-(pre)-master secret log file name设置为previous configuredssl.key密钥文件来解密捕获的SSL密文https://www.v2ex.com/t/656367?p=1,
其实原理很简单。实际上,您可以使用任何包捕获工具(如fiddler)在自己的机器上捕获包。Fiddler相当于一个中间人,可以解密所有的HTTPS流量信息。你可以试试。我的博客上有指令,网上也有很多指令
当然,默认情况下,电脑会对非法证书发出警报,但有时我们可能会设置信任非法证书很危险。因此,敏感信息必须加密,不能完全依赖HTTPS。具体分析仅限于篇幅。您可以参考GitHub页面劫持事件的分析https://lyhistory.com/docs/software/network/network2github.html
版权声明:本文内容由互联网用户自发贡献,本站不承担相关法律责任.如有侵权/违法内容,本站将立刻删除。