登录，而无需HTTPS，如何保护？ [英] Login without HTTPS, how to secure?

问题描述

对于web应用，如果HTTPS是不能作为一种安全措施，是有可能仍然能够登录几分安全？例如：

For a webapplication, when HTTPS is not available as a security measure, is it possible to still make the login somewhat secure? E.g.:

• 标记化登录，进行反复发作难？
• 不知怎的，加密从一个HTML密码域发送的密码？

在特定的，我使用CakePHP和AJAX POST调用触发认证（包括提供的用户名和密码）。

In particular I'm using CakePHP and an AJAX POST call to trigger authentication (includes provided username and password).

更新的问题：

• 在HTTPS不可用。期。如果你不喜欢的情况，认为这是一个理论问题。
• 在没有明确的要求，你有什么HTTP，PHP和浏览器（饼干，JavaScript的等）提供了在现实生活中（没有魔法RSA的二进制文件，PGP插件）。
• 问题是，什么是最好的，你可以出的这个的情况下，比发送密码明文更好。了解每个这样的解决方案的缺点是一个加号。
• 在任何改善比普通的密码更是值得欢迎的。我们不保证100％l33tG0Dhx0r-PROFF解决方案。难以破解优于复杂的破解比一个简单的嗅探揭示了密码越好。

• HTTPS is not available. Period. If you don't like the the situation, consider it a theoretical question.
• There are no explicit requirements, you have whatever HTTP, PHP and a browser (cookies, JavaScript etc.) offers in real life (no magic RSA binaries, PGP plugins).
• Question is, what is the best, you can make out of this situation, that is better than sending the passwords plaintext. Knowing the drawbacks of each such solutions is a plus.
• Any improvement better than plain passwords is welcome. We do not aim for a 100% l33tG0Dhx0r-proff solution. Difficult to crack is better than complicated to hack which is better than a trivial sniffing revealing the password.

推荐答案

答案很短：

1. 绝对的安全是不存在。所以，如果有人说X是不安全的，你要小心他说什么，因为他可能会暗示一些东西是（这是假）。

1. Absolute security does not exist. So, if someone says "X is not secure", you should be careful with what he says, because he may imply that something is (which is false).

HTTP连接具有非常低的安全性（使用HTTPS相比），但你提出的问题是有效的，然后回答如@鲁克的One是纯扯淡，至于说避免在第三世界营养不良有关的死亡，就应该吃得好：S。

HTTP connections have very low security (compared with HTTPS), but the problem you raise is valid, and answers like @Rook's one are plain nonsense, as to say "to avoid poor nutrition related deaths in the third world, they should eat better" :S.

如果您必须使用HTTP ，你至少应该：

• 使用其他服务登录，或至少的 MD5或东西，因此密码是不以纯文本形式漂浮在那里。是的，这可以很容易侵入与 MITM ，但总比没有好。它可以在局域网中是非常有用的。
• 检查IP。
• 在加密的任何敏感信息，在可能的情况。
• 告诉你的用户这个安全漏洞，它的道德，它可以让用户更加警觉有关安全性的一般。

• Use another service to login, or at least MD5 or something, so the password isn't floating there in plain text. Yes, this could be easy hacked with MitM, but it's better than nothing. It could be very useful in LAN.
• Check IP.
• Encrypt any sensible information, when possible.
• Warn your users about this security flaw, it's ethical, and it may make your users more alert about security in general.

这篇关于登录，而无需HTTPS，如何保护？的文章就介绍到这了，希望我们推荐的答案对大家有所帮助，也希望大家多多支持IT屋！