密碼在前端加密完全沒有意義,對密碼系統的安全性不會有任何提高,反而會引發不必要的麻煩。首先,做前端開發的人需要知道,前端系統的控制權是完全在用戶手裏的,也就是說,前端做什麽事情,用戶有完全的控制權。假設如同 @陳軒所說,前端做過了md5,後臺就不用做了,這個做法會有什麽後果?如果某壹天,這個系統的數據庫泄露了,黑客就直接拿到了每個用戶的密碼md5值,但此時,由於黑客知道密碼是在前端進行哈希的,所以他不需要爆破出該md5對應的原文是什麽,而是直接修改客戶端向服務器發出的請求,把密碼字段換成數據庫中MD5就可以了,由於與數據庫中記錄壹致,直接就會登錄成功。這跟直接存儲明文密碼沒有任何區別!!!所以不管前端是不是加密了密碼,後臺使用安全的哈希算法對內容再次轉換是非常有必要的。(MD5可不行,要用bcrypt,我之前回答過壹個類似的:隨著顯卡性能的高速發展,目前的快速Hash算法是否已經變得不夠安全了?)這個回答還有壹個人贊同,希望大家別被錯誤答案誤導了。另外壹個答案 @林鴻所說,在非安全HTTP連接上,可以防止原始密碼被竊聽。但問題在於由於妳的登錄系統接受的哈希過的密碼,而不是原文,竊聽者根本不需要原始密碼,只要通過哈希結果就可以偽造請求登錄系統。這樣做只能防止被竊聽到原文的密碼被攻擊者用在社會學攻擊上,而不能改善該網站的安全性。所以不管前端是不是加密了密碼,使用HTTPS安全連接進行登錄都是非常有必要的。以上我說的兩點,合起來看就是:不管前端是否加密了密碼,都不能以此為假設,讓後端設計的安全等級下降,否則就會有嚴重的安全問題。實際上,前端進行密碼加密,可以看做幫助用戶多進行了壹次原文的轉換,不管用了什麽加密算法,算出來的結果都是密碼原文,妳該如何保護用戶的原始密碼,就該如何保護此處的加密結果,因為對妳的登錄系統來說,它們都是密碼原文。以上這些,說明了密碼加密是沒有什麽意義的,接下來,我要說明前端加密會帶來什麽問題。有些人會認為前端進行了加密,可以降低後臺的安全性需求,這種錯誤的觀念會造成系統的安全漏洞。實際上,妳不能對前端做任何的假設,所有跟安全相關的技術,都必須應用在後臺上。前端進行加密會造成頁面需要js腳本才能運行,那麽假設妳的系統需要兼容不能運行js的客戶端,就必須再設計壹個使用原文的登錄接口。由於前端是不是加密,所有安全機制都必須照常應用,所以為系統增加這樣的復雜性是完全沒必要的,即使傳輸明文密碼,只要正確使用了HTTPS連接和服務器端安全的哈希算法,密碼系統都可以是很安全的。
上一篇:用java編程壹個正方形對角線的數相加的程序下一篇:安順-網上名人秀生吃活蜜蜂。如何看待這種「不限量」的吃播?