Я создаю сайт для какой-либо компании, с которой я работаю. Он включает аутентификацию пользователя. В базе данных хранятся хешированные пароли. Шифрование пароля перед отправкой формы
В какой-то момент на определенной странице пользователь должен иметь возможность входа через всплывающее окно. Для этого требуется асинхронный запрос к файлу php, который запросит базу данных с паролем.
Что приводит меня к вопросу: следует ли использовать Javascript для хэширования пароля перед его отправкой в мой асинхронный запрос, чтобы предотвратить, например, человек-в-середине атаки или тому подобное? Я не знаю, пока что сайт будет использовать HTTPS.
Спасибо.
Если вы отправляете хешированный пароль, а человек в середине перехватывает это ... Ну, угадайте, что им просто нужно отправить тот же хэшированный пароль на сервер, чтобы подражать вашему запросу. ** Если вы отправляете хешированный пароль, то хешированный пароль _is_ ваш пароль. ** Вы ничего не получаете. – deceze
Без HTTPS у вас нет безопасности. Также +1 для @deceze. Безопасность сложна. Будьте осторожны или вы сожжетесь. – Wainage
Это не плохой вопрос, можно найти много учебников, рекомендующих хеширование на стороне клиента, поэтому я не могу понять downvotes. – martinstoeckli