Krótka odpowiedź - czy istnieją jakieś problemy z bezpieczeństwem w wysyłaniu e-maili + hasło przez ajax do innej strony? :)Czy masz problem z wysyłaniem danych logowania za pomocą jQuery?
Moją myślą jest, że informacje mogą zostać złapane w wysyłaniu, co może być wadą w porównaniu do robienia tego "w konwencjonalny sposób" za pomocą akcji-formularza z "linkiem" do logowania- strona akcji.
góry dzięki ..
jego samego, jeśli wyślesz swoje hasło z formy nad POST lub wysłać żądania Ajax nad POST. Powinieneś używać SSL, a żądania są szyfrowane i zapisywane.
Należy jednak użyć żądania POST. Nie wysyłaj swojego hasła przez GET, nie jest to najlepszy sposób.
można przesyłać hasło w hash na stronie klienta przed wysłaniem go w dowolnym miejscu, a następnie zrobić porównanie hash serverside.
Ale masz taki sam problem z postem lub prośbą o uzyskanie ... zawsze jest tak samo, jeśli nie używasz SSL, jednak w świetle doświadczeń z NSA, nawet to wydaje się mniej bezpieczne.
EDIT To może sens, jeśli konwersja hash hasła stronie klienta i przechowywać ją w ukrytym polu i wysłać go do porównania zamiast wysyłać hasło. Stwarza to jednak zagrożenie, że skróty mogłyby zostać zebrane bezpośrednio po stronie klienta. Dalszy to byłby zły powód, ponieważ musiałbyś również narazić swój siew (który powinieneś używać w jakikolwiek sposób) itd. Jest to wadliwe podejście.
Użyj SSL i gotowe.
Można jednak uwędzić swoją prośbę wraz http://www.jcryption.org który jest oparty na jQuery
Spowoduje to zatrzymanie samego hasła, ale nadal możesz zalogować się za pomocą skrótu. – exussum
Jak to jest możliwe? Dopóki twój kod nie jest naprawdę źle napisany, to nie ma sensu. – Paco
Nie możesz się zalogować z HASH! – mahatmanich
„konwencjonalnych sposobów”, które odnoszą się do jest tak źle, jak zamieszczając żądania AJAX. Wysyłanie przez HTTPS zamiast HTTP daje lepszą bezpieczeństwa (ale sceptycy szybko podkreślić, że niektóre systemy szyfrowania stosowany przez HTTPS są błahe zdekodować)
nr
Trzeba skonfigurować SSL na swoim serwerze i użyj połączenia HTTPS, aby być bezpiecznym * er *.
Więc, co mogę przeczytać z twojej odpowiedzi, to że wysyłanie formularza przez żądanie formularza AJAX jest tak samo podatne na atak, jak wysyłanie go za pomocą zwykłego testu POST? :) – denlau
Czy możesz rozwinąć, dlaczego GET nie jest najlepszym sposobem? W obecnej formie wydaje się, że jest to przypadkowe, nieuzasadnione oświadczenie: – musefan
POST vs GET http://stackoverflow.com/questions/198462/is-either-get-or-post-more-secure-than-the-other Z zastrzeżeniem, że dla GET adres URL pokazany na pasku adresu może ujawnić dane, które będą ukryte w POST. – mahatmanich