【发布时间】:2011-08-06 11:38:02
【问题描述】:
能否使用 browserify 请求 node-bcrypt 客户端,然后将哈希发送到服务器?
这听起来真的很棒,还是它实际上可以提供更多的安全性,然后通过 SSL 将纯文本传递给服务器?如果我们通过 websockets 传递明文呢?
谢谢!
【问题讨论】:
标签: javascript browser node.js cryptography bcrypt
【发布时间】:2011-08-06 11:38:02
【问题描述】:
node-bcrypt 依赖于原生 OpenSSL 支持。在其当前配置中,它无法在浏览器中运行。根据this question 的说法,bcrypt 没有纯 javascript 实现,但类似的算法 Blowfish 确实有纯 javascript 实现。
对于问题 2,坚持使用 TLS 标准(通过 HTTPS)进行端到端加密。您的功能要求需要定制的可能性很小。
【讨论】:
-
感谢 Peter,现在我们正在通过 websockets 传递这些数据(因为我们在初始加载后处理所有数据)我们希望继续这样做,但不确定它的安全性。我们要么实现数据的正常 POST,要么实现客户端加密。如果我们想继续使用 websocket,您对安全性有更多了解吗?
-
我们还可以通过 SSL 循环到客户端并通过 websocket 传输传回一些独特的数据来验证 websocket。事后我们不知道这有多安全,尽管面对像中间人攻击这样的人。再次感谢。
-
对不起,我还没有深入研究 websockets,但其他人可能会加入。