【发布时间】:2017-01-09 19:32:00
【问题描述】:
我对以下场景中的密码加密方面感到困惑。在使用 fiddler 或 wireshark 调试来自 Android 应用程序的网络响应时,它们创建了一种代理服务器,允许我查看从应用程序到服务器的任何请求。在原始格式的响应中是密码,它在发布请求中清晰可见。在服务器端使用 password_hash 和 password_verify 我们正在保护密码。但是如果网络端的其他人可以查看密码,那么服务器端的加密是没有用的。 他们是否可以通过任何方式从应用程序发送加密密码,并将其转换为其他形式,然后使用密码_hash 函数对其进行加密。 (即使在 HTTPS 中我也可以看到 post 请求)
【问题讨论】:
-
这就是 HTTPS / TLS 的用途。
-
任何你可以解释的psudo形式的实现
-
“即使在 HTTPS 中我也可以看到发布请求”是什么意思?究竟如何使用 HTTPS “查看”密码?
-
请提供您在做什么的详细解释。足以让我们完全重现它。 Fiddler 在哪里运行?在你的客户端上?在你的服务器上?别的地方? Fiddler 的哪个实现?
-
@ArpitSolanki,没有。无需手动加密然后解密数据。这增加了不必要的步骤,每一步都是犯错的机会。只需要 HTTPS / TLS。
标签: java php android encryption