【发布时间】:2011-07-03 04:04:51
【问题描述】:
在我的 web.config 文件中,我有以下内容:
但是当我用 fiddler 登录并查看流量时,我仍然可以看到纯文本的密码。我不知道怎么了。
问候,
马特
【问题讨论】:
-
是在cookie中看到的密码是纯文本的,还是只是登录的时候看到的密码是纯文本的?
标签: c# asp.net forms-authentication protection
【发布时间】:2011-07-03 04:04:51
【问题描述】:
表单身份验证仅解决对应用程序中 URL 端点的访问问题,但它不解决数据如何传入和传出客户端的问题 - 您通过 Fiddler 看到的是正常的 HTTP 流量。
通常至少所有主要站点的登录页面都是通过 HTTPS 完成的,因此您无法窥探纯文本 HTTP。
【讨论】:
我只知道两种解决方案:
- 使用 https。最佳解决方案,最安全。
- 在发送密码之前使用 javascript 库 (sha1) 对密码进行哈希处理(并清除原始密码字段!)。还要使用一个随机生成的盐,每次登录都不同,将盐存储在服务器上和隐藏字段中,这样您也可以检查盐(用户可能不会更改它)。
【讨论】: