Насколько безопасно отправлять текстовые пароли с помощью AJAX?

Question

Возможно, название плохо сформулировано, но не мог придумать лучшего способа сказать это.

В настоящее время я работаю над системой входа в систему (ничего формального, просто экспериментирую) и планирую использовать PHPLiveX (библиотеку AJAX) для некоторых функций. По сути, вы создаете некоторые функции PHP, которые затем вызываются с помощью JavaScript. Вы можете добавить параметры (getElementById) в JavaScript, которые передаются в функцию PHP.

Что я действительно хотел знать, так это то, безопасно ли просто вызывать функцию из JavaScript без предварительного шифрования пароля, а затем разрешить функции PHP зашифровать ее (в данном случае SHA256). Можно ли перехватить данные, передаваемые через AJAX? Если да, то насколько вероятно это?

Answer 1

Вы отправляете его в открытом виде, поэтому любой, кто прослушивает / прослушивает / и т. Д. Сеть клиента, сможет легко увидеть пароль. Вызов AJAX - это просто старое HTTP-сообщение. Если вы хотите увидеть это в действии, запустите копию wireshark и сделайте запрос самостоятельно. Вы сможете увидеть пароль в пакете HTTP.

Answer 2

Это не безопасно. Не отправляйте незашифрованные пароли. Весьма вероятно, что в какой-то момент они будут перехвачены, и у вас возникнет серьезная проблема.

Вот видео пример захвата пароля telnet. Telnet отправляет в виде простого текста, и это прекрасно иллюстрирует серьезную проблему, которая у вас есть, если вы даже подумываете об этом. Любой двух-битный сценарий малыш может поймать простой текстовый пароль быстрее, чем вы, поэтому "Боже мой, где моя база данных?

Answer 3

Простой текстовый пароль, передаваемый через AJAX, будет таким же надежным, как и тот же пароль, передаваемый через обычное сообщение HTTP. То есть AJAX использует HTTP и поэтому может быть перехвачен и прослушан. Лучше всего использовать HTTPS (SSL).

Для дальнейшего чтения по AJAX и безопасности, я бы порекомендовал следующие показания

• 10 лучших отверстий безопасности Ajax и факторы движения
• дыры в безопасности Ajax и способы их заполнения