Ich erstelle eine Website für ein Unternehmen, mit dem ich arbeite. Es beinhaltet die Benutzerauthentifizierung. Die Datenbank speichert die Hash-Passwörter. Kennwortverschlüsselung vor dem Senden des Formulars
Zu einem bestimmten Zeitpunkt auf einer bestimmten Seite sollte sich der Benutzer über ein Popup anmelden können. Dies erfordert eine asynchrone Anfrage an eine PHP-Datei, die die Datenbank mit dem Passwort anfordert.
Was mich zu meiner Frage führt: soll ich verwenden Javascript um das Passwort hash, bevor es in meiner asynchronen Anforderung gesendet wird, um zu verhindern, zum Beispiel, Man-in-the-Middle-Angriffe oder Dinge wie das? Ich weiß nicht, ob die Website HTTPS noch verwenden wird.
Danke.
Wenn Sie ein Hash-Passwort senden und der Man-in-the-Middle das abfängt ... Nun, raten Sie mal, sie müssten einfach das gleiche Hash-Passwort an den Server senden, um Ihre Anfrage nachzuahmen. ** Wenn Sie ein Hash-Passwort senden, dann ist das Hash-Passwort _is_ Ihr Passwort. ** Sie erhalten nichts. – deceze
Ohne HTTPS haben Sie keine Sicherheit. Auch +1 für @deceze. Sicherheit ist schwer. Sei vorsichtig oder du wirst verbrannt. – Wainage
Das ist keine schlechte Frage, man kann eine Menge Tutorials finden, die clientseitig Hashing empfehlen, also kann ich die downvotes nicht verstehen. – martinstoeckli