У меня есть модель клиент-сервер, использующая SSL для каждого соединения. Я использовал Java и общие библиотеки для программирования этого. У меня есть два вопроса относительно безопасности SSL:Java SSL Безопасность
1) Считается безопасным отправлять пароль в виде открытого текста с клиента на сервер? Сервер использует BCrypt для хеширования пароля и сохранения его. Я рассмотрел отправку несостоявшегося хэша пароля или объявленного хэша пароля, но действительно ли они безопаснее отправки пароля в виде открытого текста? Я сомневаюсь в этом. Я не думаю, что отправка пароля в качестве солевого хеша является жизнеспособным вариантом, так как соль нужно будет хранить где-то в клиенте или отправлять по сети, и, следовательно, я не думаю, что это сделало бы его по своей сути более безопасным, поскольку отправка пароля в виде открытого текста. Из-за SSL никто не должен читать все равно, не так ли?
2) Зашифрованные данные на SSL всегда шифруются в другую строку, и если да, можете ли вы использовать более раннее шифрование определенной строки, чтобы получить тот же результат позже? Чтобы уточнить:
- Если вы сейчас зашифруете данные, и через несколько секунд оно выполняет один и тот же шифрованный текст?
- Если вы используете шифрованный текст из шифрования «тест», можете ли вы отправить тот же самый шифрованный текст в более поздний момент, чтобы сервер считал, что клиент отправил «тест»?
При любых обстоятельствах необходимо сделать предположение, что я не хочу подходить к этому с моей собственной (клиентской или серверной) перспективы, но я хочу подходить к этому с точки зрения хакера/читера.
С уважением.