Каков безопасный способ передачи логина и пароля от клиента на сервер во время аутентификации?

Question

Я только что настроил прокси и запускаю все мои запросы через этот прокси.

Я исследовал несколько различных приложений: они передают пару логина и пароля необработанным, то есть я могу получить их из параметра запроса POST.

Как это сделать, чтобы сделать его более безопасным? (Я еще не исследовал gmail и facebook, но думаю, что у них нет этой проблемы. В противном случае любое интернет-кафе может собрать все учетные записи своих клиентов, например).

P.S. Я исследовал сайты, написанные на JSP и GWT.

Answer 1

Используйте HTTPS соединение.
Настройте SSL для вашего приложения

Answer 2

Я согласен с другими ответами: использовать HTTPS (TLS).Это защитит передачу, включая защиту от повторных атак, посредника и т. Д. Хотя ничто не идеально (см., Например, Атака повторного согласования TLS ), вы можете считать TLS очень зрелым.

Но с учетом вашего заявления:

любое интернет-кафе может собрать все учетные записи своих клиентов

Да, к сожалению, это все еще так, даже если вы используетеHTTPS: Любое интернет-кафе может установить кейлоггеры, модифицированный браузер, ...

Так достаточно ли этого для защиты канала или вам также нужно аутентифицировать клиентов?Вы можете сделать это и с HTTPS, но это будет означать, что вам придется создавать клиентские сертификаты и устанавливать их на компьютерах (учетных записях пользователей), которым вы доверяете.В зависимости от ваших требований (высокий уровень безопасности, только пользователи компании, ...), это может быть хорошим подходом или нет (например, веб-сайт для широкой публики).

Answer 3

если вы используете веб-сервер, почему бы просто не включить SSL? (т. е. в файле веб-конфигурации укажите, что вы хотите включить SSL - посмотрите документы вашего сервера для этого)