Mam swoje uwierzytelnienie w mojej aplikacji internetowej działającej na klejnocie devise. Zastanawiałem się, czy to było bezpieczne. Tak, przechowuje hasła jako hashe w bazie danych, używa zaszyfrowanych tokenów po zalogowaniu itp. Ale jak w początkowej fazie logowania? Czy wysyła nieautoryzowane hasło użytkownika przez Internet (ja nie mam SSL)? Czy klient może zaszyfrować go za pomocą określonego klucza publicznego, który tylko serwer mógłby odszyfrować? Czy też SSL jest jedynym sposobem szyfrowania hasła użytkownika?Szyny: Czy klejnot jest bezpieczny?
Dzięki!
Podczas korzystania z przeglądarek jako klient, TLS jest jedynym sposobem ochrony przed MiTM/aktywnych atakujących. Istnieje kilka technik ochrony przed atakującymi, ale zdecydowanie polecam TLS. – CodesInChaos