Аутентифицировать форму HTML с веб-сервером с помощью jQuery

Question

Я создаю простое веб-приложение.У меня нет возможности использовать SSL для защиты связи с клиентом.

Прямо сейчас поток:

Первая регистрация пользователя:

1) Пользователь выбирает пользователя и пароль (форма HTML)

2) Пароль хешируется хеш-функцией и ключом (с объединенной солью) (jQuery)

3) Результат хеширования отправляется на сервер и сохраняется в БД

При любом входе в систему:

1) На странице приветствия -пароль хешируется, а результат отправляется на сервер

и конкурирует с результатом хеширования из БД.2) Если пароль верный, токен аутентификации отправляется клиенту и сохраняется в файле cookie.

3) На каждой странице токен отправляется на сервер и проверяется.

** Мои вопросы: **

1) Хороший ли у меня способ шифрования данных или его нет (сравнивая с SSL)?

2) Как я могу предотвратитьXSS (межсайтовый скриптинг) - получение токена из файла cookie пользователя и использование для извлечения данных с сервера без указания имени пользователя и пароля?

Answer 1

Хороший ли у меня способ шифрования данных или его нет (сравнивая с SSL)?

Нет. Хешированный пароль фактически является реальным паролем и отправляется в открытом виде.

Как я могу предотвратить XSS (межсайтовый скриптинг) - защитить токен от файла cookie пользователя и использовать его для получения данных с сервера без указания имени пользователя и пароля?

С обычными механизмами защиты вашего сайта от XSS, т.е. санацией / экранированием всех выводимых вами данных, чтобы сценарии не могли быть внедрены из клиентов.