Аутентификация пользователя FLEX + AMFPHP

Question

Я пытаюсь создать довольно простую систему аутентификации пользователей с использованием FLEX и AMFPHP, но у меня есть вопрос о безопасности.

Большинство примеров, которые я вижу, отправляют незашифрованные имена пользователей и пароли в php-файл, который их шифрует и отправляет в базу данных для проверки или сохранения ... Я что-то пропустил или отправляю ваше имя пользователя / пароль в незашифрованный шанс для хакера перехватить вызов и извлечь информацию из вашего запроса? Будет ли запрос от FLEX перехватывающим? или это сделано на стороне сервера "за закрытыми дверями"?

Answer 1

В качестве альтернативы, вы можете просто установить HTTPS-соединение для вашей страницы входа.Таким образом, пароль будет зашифрован при подключении к серверу PHP, но все еще будет доступен в виде открытого текста для PHP, чтобы он мог управлять хэшированием.

Answer 2

Вы можете хешировать пароль на клиенте и отправлять его на сервер, но вы должны знать, что есть люди, которые могут узнать ваш алгоритм хеширования на клиенте.Если вы попытаетесь осквернить новичка, хеш может сработать.Но если вы считаете, что хакер не новичок, я думаю, вам даже не стоит беспокоиться о хэше и использовать напрямую HTTPS.

Загрузка другого SWF-файла, вложенного в предыдущий, не решит вашу проблему.Браузеры не защищают файлы, кэшированные в памяти, и хакер все еще может найти файл, который вы пытаетесь скрыть.

Answer 3

Да, вы правы. Хэш-пароль на клиенте и после этого отправляет его на сервер.