Я считаю Javascript угрозой безопасности, поэтому я хотел бы разрешить пользователям моего сайта входить в систему без необходимости включения Javascript.безопасная аутентификация пользователя без javascript
Это подводит меня к другой проблеме. Без сценариев на стороне клиента я понятия не имею, как я могу хэш-пароль пользователей на стороне клиента, чтобы избежать передачи паролей с открытым текстом. Как «чистый HTML + CSS» позволяет мне иметь хэширование пароля.
В настоящее время мне кажется, что единственным безопасным вариантом (без Javascript) было бы иметь безопасное (зашифрованное) соединение ssl/https и отправлять пароль в виде открытого текста?
Во всяком случае: Есть ли способ хешировать пароль пользователей, чтобы не отправлять его через Интернет в виде открытого текста? Возможно ли это только при использовании клиентских скриптов?
[обновление] Я знаю, что SSL, пожалуй, самый близкий к идеальному. (как упоминалось в комментариях) Во всяком случае. Это уже улучшило бы безопасность, когда бы ни одно имя пользователя и пароль открытого текста не отправлялись через небезопасный канал. Хеши можно также обнюхивать, и там не может быть safty (например, шифрование). НО ни в коем случае сниффер сможет получить независимую версию имени пользователя и пароля. => преимущество заключается в том, что пользователи не будут публиковать свою комбинацию имени пользователя/пароля (потенциально используемую в другом месте).
В конце концов, кажется, что нет никакого «сценария отключено» - путь (spice), хэширующий некоторые значения входного поля. Поэтому я предполагаю, что мой вопрос невозможен.
делает «SSL» кольцом любые колокольчики? Для этой цели был создан SSL. Нет никакой реальной «безопасности» для HTML + CSS даже с JS. – Joseph
Я бы выполнил шифрование в JavaScript, и если у пользователя отключен JavaScript, я бы проинформировал его о небезопасной передаче (используя HTML-код noscript-тега: ''). Но все же лучшее, и я думаю, наиболее распространенным решением является передача через безопасное соединение (HTTPS). –
...или использовать HTTPS и клиентские сертификаты –