网站登录密码长期用一个固定的RSA公钥加密传输是否安全

金三胖 发布于 2017/02/17 20:10
阅读 313
收藏 1

环境:PC网站,HTTP

 

背景:用户登录网站时,输入账号密码,POST之前,先用RSA的js库加密密码再提交,以保障密码传输过程中的安全。

但是RSA的公钥私钥并非每次打开登录页时服务端动态生成一对全新的公钥私钥,而是把一个事先生成的静态公钥固定在WEB前端,用户提交密码后在服务端用对应的静态私钥解密。

 

问题:请问我这样长期用一个固定的RSA公钥加密传输的做法是否安全?

加载中
0
loyal
loyal

上https吧

金三胖
金三胖
回复 @loyal : 哈哈
loyal
loyal
回复 @金三胖 : 5个月...
金三胖
金三胖
已换https
金三胖
金三胖
已换
金三胖
金三胖
就是不想上https
0
全体人员
全体人员
就算不长期也不安全~
0
喜之郎
喜之郎

显然不安全。因为这样的话,黑客完全可以监控你的请求数据,然后按原数据重新发送一次相同的登录请求。需要每次登录提交生成一对新的公钥和私钥才行。

金三胖
金三胖
嗯,换成https了。之前想法太天真。没考虑中间人可以篡改我的公钥换成他自己的,然后截取用户数据后再用他的私钥解密的情况
返回顶部
顶部