思考:Https情况下前端密码是否需要加密

已于 2024-01-08 23:42:38 修改
阅读量569 收藏 9
点赞数 8
分类专栏: 业务安全 文章标签: https 网络协议 http 安全
于 2024-01-08 23:40:11 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/leeboyce/article/details/135469026
版权

原创文章,转载请标注。https://blog.csdn.net/leeboyce/article/details/135469026

文章目录

例子:

(1)不加密例子

(2)加密例子

结论:前端账号密码需要加密。

论点一:https是否真的“安全”?

1、Https通信中间掺杂着许多代理(客户端代理、服务器代理等),而正是因为这些代理的出现,使得https也变得不那么安全。

通过代理就能监控https明文数据,从而能够获取到用户未加密的账号密码。

2、抓包原理(Fiddler、Charles、Wireshark等抓包工具)

抓包工具作为中间代理,通过对客户端伪装成服务端和对服务器伪装成客户端的方式,对骗客户端与服务端进行欺骗,从而打到截取明文数据的目的。

其实抓包的原理本质上就是中间人攻击,但前提是用户客户端上安装抓包工具根证书并设置为信任。只要用户不设置证书信任,https还是非常安全的。只要在认证环节出了问题,https的安全性就会失效。

论点二:用户隐私保护

加密能保障用户隐私安全,防止内部人员窃密。

1、保护用户隐私。用户账号密码可能包含其个人身份信息,账号密码泄露会导致其身份隐私信息泄露;

2、防止内部窃密。请求经过服务端必然会留下请求日志或痕迹,任意内部开发人员都能够获取到用户账号密码,会对企业数据安全造成困扰;

3、防止撞库。用户明文账号密码被截获后,会被尝试于不同应用上,对整个互联网账号安全都带来影响。

论点三:提升逆向成本

提升逆向成本。

(1)通过自定义加密算法对账号密码进行加密,提升作弊者的协议伪造成本;

(2)通过在加密算法中加入时间戳或其他随机值,能够避免重放攻击;

(3)通过加入环境检测逻辑,检测当前用户运行环境是否正常。

总之通过对账号密码进行加密,我们能够提升逆向分析的难度。我们弄个在该加密串中加入很多有意义的标识,迫使作弊者必须分析。
当然加密和混淆是不可分割的,只加密不混淆,加密算法明文呈现,加密的效果就会大打则扣。

最后

懂的不多,做的太少。欢迎批评、指正。

码头工人的一千零一夜
关注
  • 8
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
web前端个人开源博客网站
10-04
【标题】"web前端个人开源博客网站"涉及的是在互联网上创建一个个人的、开源的博客平台,这个平台主要由Web前端技术构建,用于展示个人的思考、作品和经验分享。Web前端是网页和用户交互的主要部分,它包括HTML、CSS...
html前端登录页面整合(6个).zip
01-31
- **安全性**:虽然这些是静态示例,但可以思考如何在实际项目中添加安全措施,如密码加密传输,防止CSRF攻击等。 - **AJAX异步提交**:如果有的示例使用了AJAX,可以学习如何实现无刷新的登录验证,提高页面性能...
关于登录密码加密的三个方式
weixin_62395763的博客
05-21 3725
1、数据库加密,可能会被解密2、后端工具类加密,可能会被别人拦截前端传递的数据,导致泄露。3、前端加密是一个优解,在不影响执行速度情况下。当然想前后端都加密一次也可以。
前端传输加密的意义和实现
程序员阿飘 的博客
02-11 1083
整体看下来,说无意义的,无非说是对于后端而言,前端直接发送明文密码,还是使用md5,decypt,sha等加密的密文密码,从数据层面来讲,都是『明文』,只要被劫持,就算是密文,也并不需要去破解,直接伪造请求,照样发送就好了。说有意义的呢,更多说的是保护用户隐私,不至于明文在网络上传输,可以防止同密码跨站使用,不在后台日志明文记录,增加破解难度,防君子不防小人等等,总的来说,它的意义不在于鉴权。5,以上即可以保证,每次发送的密码密文都是唯一的且只能使用一次,就算被劫持,拿到这个密码也无法再次登录
前后端登录注册密码加密方式
qq_46673413的博客
03-21 968
前后加密示例
Web前端密码是否需要加密
m0_56848294的博客
12-30 1817
Web前端密码是否需要加密 先看几张图,我挑了几个网站进行测试,比如 (1)知乎查看源代码的时候就可以看到value值 (2)简书修改密码文本框的type也能看到密码 (3)公司的系统,页面value值未显示,通过抓包工具可以看到密码 备注:页面不显示明文,其实就是 防止别人偷看 (4)淘宝通过抓包工具未显示密码,但并不代表不传密码,把值提交给服务端校验,而服务端只会告诉你成功或者失败,并不会告诉你正确的 name 和 password,而且 页面不显示正确数据只是防止别人偷看 1、知乎.png
前端有对用户密码进行加密
公众号 Java4ye
10-19 2082
我的个人网站 www.ryzeyang.top 内容概览 前端有对用户密码进行加密吗?加密算法又是哪类呢????? 一直以来都有个疑问,就是在那些平台上创建用户时,前端有没有对密码进行加密,再进行传输????? 今晚决定一探究竟(博主也不知道之前咋那么忙,都没时间给自己解答这个疑问????,明明没有在峡谷里奔跑的 ????????),毕竟昨天让二追三这种事情都发生了,我觉得我也可以给自己解惑了 哈哈哈哈???? 于是我来到这个熟悉的网站(主要是因为还没注册 哈哈哈哈????) 开源中国 毕竟是前端
网络篇 - https协议中的数据是否需要二次加密
u014294681的博客
01-23 1万+
随着互联网整体的发展,https也被越来越多的应用。甚至苹果去年还曾经放言要强制所有的 app都使用 https,可见在如今的互联网它的重要性。前面的文章说了OSI 七层模型,https 可以保证数据在传输层是安全的。那么如果使用了 https,传输的数据还需要做二次加密吗?是否有过度设计的感觉,让我们来分析是否有这个必要性。 目录: 何为 https 证书 https 证...
只有登陆注册页需要https加密吗?N网站有必要全站加密吗?
weixin_33749242的博客
06-14 223
很多人都觉得,HTTPS 可以保护用户的密码等登陆信息,那么其他时候就不需要了。但火狐Firefox浏览器插件Firesheep,证明了这种想法是错的。我们可以看到,其实在一些社交平台,劫持其他人的session是非常容易的。我们以常见的咖啡馆的免费WiFi环境为例,这就是一个很理想的劫持环境,因为两个原因 这种公共场合的 WiFi 通常不会加密,这就是提供了监控所有流量的可能性。 WiF...
关于Web前端密码加密是否有意义的总结!
爱上在路上
04-18 1万+
参考来源:    Web前端密码加密是否有意义?       http是否加密登陆密码的必要 起因:是一个90后团队搞的一个流氓公司,做 Mac 下的盗版应用商场,被骂了一通,同时调侃 http 协议明文传输用户名密码,太低级。后来有个人站出来,提出“前端对数据进行加密没有意义”这个观点。后来就是的骂战了。。。 无意义说:密码前端加密完全没有意义,对密码系统的安全
毕业设计:基于java servlet实现的在线投票系统.zip
10-11
总结,这个基于Java Servlet的在线投票系统综合运用了Web开发的多个核心技术,从服务器端编程到数据库操作,再到前端交互和安全性设计,全面展示了开发者在实际项目中的技能和思考。通过这样的毕业设计,学生可以...
Analogues-Blog:类似物的网站博客
05-21
博客系统通常用于分享观点、技术文章或者生活点滴,而“Analogues-Blog”可能是一个专门探讨类比思考、比喻应用或者相关主题的博客。下面我们将深入讨论PHP在构建此类博客系统中的关键知识点。 **PHP基础** PHP...
基于移动电商项目实战.zip
04-12
- **数据加密**:敏感信息如用户密码、交易数据需加密处理。 - **防止SQL注入**:使用预编译语句或参数化查询避免恶意输入。 - **跨站请求伪造(CSRF)防护**:验证请求来源,防止非法操作。 5. **性能优化**: ...
关于登录安全加密的问题
二十七杯奶茶
04-26 957
近来,有个朋友的网站上线了,我们一起聊了一下关于数据安全的问题,比如:防止恶意注册,恶意模拟登录,恶意访问等,因为之前做过一段时间的爬虫,在某些方面,也有一些体会,我们最后讨论到数据加密上,在网上看到一些帖子,想总结一下,资料主要来源于网上。一、关于加密。原文 你会用什么样的算法来为你的用户保存密码?如果你还在用明码的话,那么一旦你的网站被hack了,那么你所有的用户口令都会被泄露了,这意味着,你
思考Https情况前端密码是否需要加密_前端密码需要加密
m0_58269070的博客
04-07 1215
在结束之际,我想重申的是,学习并非如攀登险峻高峰,而是如滴水穿石般的持久累积。尤其当我们步入工作岗位之后,持之以恒的学习变得愈发不易,如同在茫茫大海中独自划舟,稍有松懈便可能被巨浪吞噬。然而,对于我们程序员而言,学习是生存之本,是我们在激烈市场竞争中立于不败之地的关键。一旦停止学习,我们便如同逆水行舟,不进则退,终将被时代的洪流所淘汰。因此,不断汲取新知识,不仅是对自己的提升,更是对自己的一份珍贵投资。让我们不断磨砺自己,与时代共同进步,书写属于我们的辉煌篇章。需要完整版PDF学习资源私我。
抓取https协议的用户名与密码
liushaojiax的博客
12-16 205
redir_command_off = "iptables -t nat -D PREROUTING -i %iface -p tcp -d %destination --dport %port -j REDIRECT --to-port %rport" 分别是什么意思。的工具,可以通过它来设置网络连接的规则。具体来说,redir_command_on命令用于将来自指定端口的数据流量重定向到另一个IP地址和端口,而redir_command_off命令则用于关闭这个端口转发规则。
为什么能抓到网站https传输的明文密码?------顺便说说“知乎”和“支付宝”的安全性对比
热门推荐
认知 行动 坚持
09-23 3万+
在多数人看来, https安全的, 因为https和secure http嘛, 真的是这样吗?         一些人认为, https加密传输, 所以抓到包也没有用, 是密文的。 真是的这样吗? 我今天无意抓到了某网站登录密码, 是明文的, 有点吃惊, 结果上网查了一下, 发现还是有不少网站在用https传明文密码。         下面, 我们以知乎的登录过程来看看,输入密
https协议中的数据是否需要二次加密
weixin_41204880的博客
01-30 755
其中一个最突出的问题就是信息劫持。举个例子,如果你在一个网页上输入账号密码的话,使用 https 的网页能够保证你的账号密码在传到网站服务器的过程中不会被其他的东西干扰或者盗取,但是,你输入的账号密码却有可能被你正在访问的这个网页盗用。在密码学和计算机安全领域中,中间人攻击 (Man-in-the-middle attack,通常缩写为 MITM) 是指攻击者与通讯的两端分别创建独立的联系,并交换其所收到的数据,使通讯的两端认为它们正在通过一个私密的连接与对方直接对话,但事实上整个会话都被攻击者完全控制。
测试环境:使用OpenSSL生成证书并配置Https
最新发布
liao3399084的博客
07-06 688
回车后,提示需要部分信息,该部分信息照着抄就行,没有二次校验的过程,自己随便填,但是填写域名的位置尽量真实点;安装完成后,可以设置环境变量,也可以不设置环境变量,设置环境变量的好处是:在任意位置通过cmd命令行窗口都可以执行openssl命令,而没有设置环境变量则需要进入OpenSSL安装目录进行命令行的操作。刚才生成的证书文件和key的位置,要写相对路径,建议将这两个文件放到nginx配置文件的同级目录,写绝对路径可能会报错。正常情况会生成两个文件,一个server.key 一个server.csr。
网络安全-前端安全-防御手段.pdf
10-23
5. **密码传输安全实践**:讨论了前端加密的实际意义,虽然前端加密对于最终用户传输层面有一定的保护,但主要的加密责任应由服务器端承担,因为前端加密无法完全阻止登录尝试。 6. **加密算法复杂度**:强调了密码...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值