安全问题:登录时,如何隐藏用户提交的用户信息,比如账号,密码之类的

streamlong 发布于 01/12 16:50
阅读 165
收藏 0

最近做登录需求时,想到一个安全问题,系统对外(公网)访问时,如何隐藏用户输入的一些敏感信息,比如账号,密码之类的。

今天特意去看了下12306的登录接口,在浏览器network一栏,能看到访问的链接,但是所有的登录信息都是加密后放在cookie里面的,  iteye也是这样处理的。

oschina的登录界面,在浏览器network一栏,看不到明显的处理请求,基本都是js,图片的加载信息,没太看懂这里的实现。

大家对这一块的安全问题都是怎么处理的呢?

 

以下是问题补充:

@streamlong:首先谢谢大家的回答,我完善下问题描述吧:目前我知道把http请求改成https,就可以保证整个请求是以加密的方式传输,但是这个只是解决了一部分问题,我想要的是我提交的请求参数也不可以明文出现在请求参数里面(可参见csdn, iteye, oschina等流行的技术论坛网),js加密这块是第一次接触,目前知道的有一个bcrypt,据说这个是目前很通用的一种加密方式,想听听大家其他的高见。 (01/15 11:57)
加载中
0
NinthCode
NinthCode

用https的话,不就是加密的了吗?或者自己做一下非对称加密

streamlong
streamlong
是,https是加密了,但是这个是针对整个请求的加密,但是你在开发者控制台上面仍然可以看到你提交的请求参数明文,而我不希望一些敏感的信息明文出现在请求参数里面。
0
salvinlee
salvinlee

账号无所谓,密码都是密文传输,在页面用JS加密传给后台.

salvinlee
salvinlee
回复 @streamlong : DES,AES,MD5都可以,主要看需求,如果后台需要用明文校验就用DES,不用就用AES/MD5都可以~
streamlong
streamlong
js加密密码传输,这里一般都是采用那种加密方式?bcrypt?
0
银杏果果
银杏果果

form表单数据提交时,内部会有个简单的处理,如果用js提交,那么可用的加密手段就多了,不过只要代码中包含加密密钥,基本仍是不安全的。相信也没有绝对的安全。

streamlong
streamlong
所以一般才采用第三方加密,比如证书之类的?
0
小丁丁1999
小丁丁1999
https+rsa双向加密解密。
0
Fred
Fred

用https是成本最低,实现最快的方式~

0
streamlong
streamlong

引用来自“Fred”的评论

用https是成本最低,实现最快的方式~

用https只是保证你整个请求是被加密的,但是你通过开发者工具,仍然可以看到你本地提交的请求参数里面的一些敏感信息,比如用户名密码之类的,而我不希望我输入的账号和密码明文显示在请求参数里面😳,:),所以向大家请教。登录这里的请求参数,一般是怎么处理的?

Fred
Fred
其实这个只能你自己看得到。。。抓包工具是捕捉不到原始数据的
返回顶部
顶部