何が最良の方法で送webフォームの認証データHTTP?
質問
会社かは議論し、そのパスワードのセキュリティ政策に関わる全てのウェブアプリケーション製品群.
今回は送信ユーザ名/パスワード認証後の形態HTTP上で、このように、送られます。
最も単純な問題を解決するだけで、必要とHTTPSログオンすべてのコンテンツやアプリ。
でも内部の議論ではなくて何らかのロールとして当社自身のクライアント側の暗号化パスワード(パスワード+塩ます。
はありま受け入れHTTP唯一のソリューション?
意見---などさて、皆様が意見でもやってみたい信頼のおける安全文学スターすることができます。だけでなく、googleに送っているのですから。っています。
私たOWASPの提言:http://www.owasp.org/index.php/Top_10_2007-A7#Protection
などのト:http://msdn.microsoft.com/en-us/library/aa302420.aspx
編集: をご推薦のためには、暗号化(SSL)を用いています。いなどを支援します。知っている圧延独自のクライアント側の暗号化は悪いものです。しばらくの卒販売する協働管理します。
また、HTTPダイジェストして挙げられる。らしいが、ダイジェストはHTTP認証、データ送信されます。
解決
+1 Mehrdadの回答.を進めて自家栽培の暗号化にはリスクがあります。
といえば経験から、ここで見の脆弱性が自家栽培のクライアント側の暗号化ソリューション。多くの脆弱性により、同様の理由により、データ転送によって守られてきた暗号化することで秘密鍵の鍵は交換不ます。
TLS/SSLの問題を解決しないだけで確保の鍵交換にもセキュアなデータ転送をつかさどります。
TLS/SSLを保護機密情報を使用assymmetric鍵暗号方式の鍵の使用を暗号化する情報を前後に、TLS/SSLセッションが設置されている。の対称鍵が発生するランタイム時において、及びは、共有の秘密とはftpプロトコルを用いたファイル;このキーに使用される暗号化その他全ての交通のセッションのための準備を移転のデータです。
サーバの公開鍵、秘密鍵を使用して交換するこ共有します。にわた妥協の共有鍵が危サーバの鍵(その秘密鍵を復号).実際には、過失又は故意に、サーバ管理者が行います。
ばの独自の暗号化液は、交換の対称鍵を安全です。 最も簡単な方法ではTLS/SSL;難し方を導入することによって、現在ご自身のassymmetric暗号鍵交換。
他のヒント
私は非常に 勧 のような独自のソリューション(セキュリティを感ます。とするものとする。で実績のある技術で実行します。
ロ独自のセキュリティソリューションで本当に危険であっても、正しく実装され(0.000001%) ま す。
データが得られない場合にはそのものでしかできない感が、パスワードは、今までの利用 HTTPダイジェスト認証 (昼間とはまた違った獣からのHTTP基本認証).ではなかなか確保の道HTTP的には全く実装するための、サーバーにコピーします。何も送信されるワイヤとを明らかにし、パスワードだけを可能にする情報をお客様をサーバにその正しいパスワードになります。
したい場合にも政宗震災復興の農業のコストを実施HTTPダイジェスト認証のお申し込み ポール-ジェームスに優れた記事で.
の問題HTTP認証のブラウザ自身:別にUI自体はとてもできるもの このJavascriptを.
保存することができたパスワードを安全にやりとりを格納するA1のハッシュ.
更新: てその他の回答、サーバーに回避できMITMの攻撃を受けていない基本的な認証、クライアントはまだ脆弱なのです。
更新: できない安全なデータ越後しないとはい暗号化JavaScriptのクライアントまたは、(b)ないものの上のボタンを使用します。
す ができ, んが、少しの魔法使HTTP authとする。のようにリンク上でHTTP Auth HTML形式"。そん行われます。
の場合 本当に での使用により、SSLを使用し、塩はパスワードにデータベースです。
したい場合は回避CSRF、使用をお勧めし formkeys, ものが多く名前、ピックアップしていただきる名からハッキングSlashcode自分自身で使用数年前、私が見つけたのです。
まり時間とお金の圧延ご自社ソリューションとなるので安心です。業界標準のSSLめに、より安全によることができ自分なりの解決策です。
時間==金
購入申込書(web登録)の際に記載し、お時間をお過ごし作業セッションの代わりにセキュアログインです。
クライアント側の暗号化キッチもMITMます。攻撃者はできるだけで除します。
のみに保護するパッシブ盗聴.とする場合は、いったりとしたつくりで使いやすい利用でき:
- ハッシュを実施が可能です。での実施チャレンジ応答の初期ログインがることを忘れないでくださいために攻撃者がセッションクッキーはほとんどとパスワード(い限定ログインする単一のIPおよび/または使用スクリプトを使用して生成する時にクッキーのためのあらゆるご要望において想像するに難しく、脆性液)。
- HTTPダイジェスト認証を行います。ゆっくりできるようにできるものではご使用時に正の相互認証等 でスタンダードのUIは絶対に反発.
ルを使用するものとする。
HTTPのみのソリューションは常に影響を受けやすい状況が人、中間者攻撃であった。
編集: ネットワーク追跡する手軽に行うことができることを証明するHTTPいます。
大丈夫、こちらの答えは必要なもの:銀行サポートするだけでなくログインの/authによンを使用します。があった場合のより良い方法をいう.
でも、内部論 つくって何らかの ロールとして当社自身のクライアント側の暗号化 パスワード(パスワード+塩ます。
まずアジアのデータを送前データです。からのOPでの音のように大きな懸念はユーザ名/パスワードを明確にするようになる。では、アカウントデータに着きました。HTTPS通SSLは試験方法を行なうことでも簡単に固定!).今までのロール独自のデータで休(dbファイルサーバ等)、 た獣が、既存の方法ではデータ暗号化をよりロールします。
頼りにクライアント側のセキュリティ確保のためです。ます。企業環境にあり、少な標準設定します。でも、最終的には、ユーザーは、ダムと合うjavascriptを無効にな顧客ベーソンの焼き出し、その後の送信ユーザ名/パスワードが平文でもかまいませんが、結局(された場合にもサーバーにあわいで過ごしたい人にはお勧めでにない想される形式です。
ロール自分で自分のない対象の調査と既存溶液。起きの追加追加のセキュリティの問題をミックスのためのコードです。
おけるweb/モバイルアプリをいくつかのこと。でランダムUrlのためのログインは、HTTPS、ハッシュ/AES暗号化方式のためのデータベースに保管します。パシJSON APIを使用しないで当社のUIニ客writeupで見.. http://blog.primestudiosllc.com/security/send-time-limited-secure-logins-with-timebomb-it
すっご自身の暗号化プラスの塩...であることを javascript md5 (も用いられています。ヤフーがその非sslページはこのようなものでその要求を受けないことが保証され...
まダブルハッシュパスワードを...るとの議論もあろうダブルハッシュことができるとされていることでが衝突。このため同意できな人が出来るのではないだろうか今までmd5署名の衝突のみファイルが大量のデータがmd5投稿内容の投稿者に...
の場合は、大企業のwebサイト(という理由に休みはありませんの言い訳を使用しないボタンを使用します。