Просьба предоставить миру и всем вашим клиентам одолжение и ПРОДОЛЖИТЬ шифровать пароль перед отправкой его по незашифрованному HTTP.
Есть две стороны этой проблемы, и в этом случае обе стороны - это вы сами и клиент, которым вы обслуживаете. К сожалению, большинство пользователей используют одни и те же пароли для многих сайтов, так как у нас нет емкости памяти для обработки сотен сайтов, с которыми мы входим в систему сотнями паролей, мы, как конечные пользователи, выбираем два или три и продолжаем свою жизнь. Вы, безусловно, ошибаетесь, если вы отправляете свои пароли клиентов через HTTP, не зашифровывая их сначала, и есть на самом деле что-то, что нужно получить. Доверяйте своим клиентам, чтобы их пароли, вероятно, такие же, как то, с чем они входили в банк, не попадали в руки хаков или, что еще важнее, руки любого, кто связан с разработкой веб-сайта, потому что вредные ИТ-сотрудники действительно существуют и очень легко получить эти пароли, поскольку они отправлены в ваше приложение для обработки на стороне сервера ...
Мне было бы неловко думать, сколько веб-разработчиков прочитали эту статью и решили не шифровать на стороне клиента, что должно быть одной из первых вещей, которые мы делаем, это защита для пользователей, а не для себя ... Защита вашей базы данных может осуществляться с помощью множества процедур, и каждый аналитик безопасности имеет свое мнение о том, что делать или не делать, соленый-spunked-болталась-нибудь. шифрование на стороне клиента не должно обсуждаться.
Да, но вам нужно купить сертификат ... и т. Д. Я создаю приложение для 3 пользователей ... Проверка по IP будет вариантом, но это всегда раздражает, потому что часто вы хотите получить доступ из любого места – de3
Сертификат дешевый. Вы можете даже самостоятельно подписываться, если хотите самостоятельно управлять своим полномочным ключом. – Quentin
StartSSL является бесплатным для простых сертификатов. – dlp