php-创建质询-响应登录

大佬教程收集整理的这篇文章主要介绍了php-创建质询-响应登录，大佬教程大佬觉得挺不错的，现在分享给大家，也给大家做个参考。

我目前正在尝试创建以下用户授权：
The definitive guide to form-based website authentication
我已经实现了crsf令牌,数据库中的密码已加密,等等.现在,我需要为用户登录时发送的数据添加一些加密(不能使用SSL).

我一直在寻找一些好的解决方案,但只发现了：
http://unitstep.net/blog/2008/03/29/a-challenge-response-ajax-php-login-system/
我不是安全专家,所以我不想自己编写这样的系统(但是我必须猜).

您知道提供挑战响应功能的任何类/库吗？
在将数据发送到服务器之前,必须在客户端对数据进行哈希处理-从定义上来说这不安全吗？

解决方法:

阅读unitstep.net上的文章后,它看起来确实很有趣.

挑战是一种加密的随机数,这意味着仅发送一次给客户端,并且在成功登录后,它就无效了,因此,如果有人正在嗅探连接并且他们收到了挑战和响应,则自下次开始,它将不再起作用会有所不同.就登录凭据而言,嗅探连接的人将无法使用登录期间发送的数据来入侵您的登录信息.

但是,当不使用加密连接时,还会有其他问题.我能想到的是：

>如果黑客得到了挑战和您的回应,他们可以对其进行字典/强力攻击以检索您的密码.如果使用了较差的(快速)密码,并且使用了简单的密码,则此操作可能会相对较快地完成,因此,请确保使用慢速算法,或者如果使用快速算法来达到减慢效果的效果,则确保使用多轮算法.
>此方法不提供身份验证,这可能会导致中间人攻击.
>由于它是在客户端完成的,因此您无法控制密码强度.就您所知,他们可能使用空字符串.
>黑客可以在登录时嗅探用户在做什么
>您的网站将更容易受到会话劫持
>即使您的登录凭据本身是安全的(因为它们从未传输过),但下一个挑战始终以纯文本格式提前存储在数据库中.

有效的SSL证书并不昂贵.快速搜索“廉价ssl证书”后,发现一些匹配项每年的费用低于10美元(大约是您的域名费用).如果可以的话,这绝对是必经之路.

现在,回答您的实际问题：

不,对不起

我看不出这怎么不安全.我已经看到一些网站实现浏览器端证书登录(例如http://www.startssl.com和Webmin也具有相同的功能).证书对由浏览器计算,并将公钥发送到服务器进行身份验证.

编辑2016年：

如果您要寻找完全免费的SSL证书,我强烈建议您使用https://letsencrypt.org/.我目前在大约10个域中使用它们,没有问题,并且可以通过简单的cron作业自动更新证书,因此现在我基本上不必再担心证书了.他们也接受donations,我会鼓励任何使用它们的人去做,尤其是因为它们可以为您每个域每年节省10美元.

大佬总结

以上是大佬教程为你收集整理的php-创建质询-响应登录全部内容，希望文章能够帮你解决php-创建质询-响应登录所遇到的程序开发问题。

如果觉得大佬教程网站内容还不错，欢迎将大佬教程推荐给程序员好友。

本图文内容来源于网友网络收集整理提供，作为学习参考使用，版权属于原作者。
如您有任何意见或建议可联系处理。小编QQ：384754419，请注明来意。