1
데이터베이스에 저장하기 전에 암호를 해싱하기 위해 PHP 5.5+ password_hash() 함수를 사용하고 있습니다. 여태까지는 그런대로 잘됐다.제출하기 전에 사전 해싱이 필요한 Password_hash()가 필요합니까?
내가 조금 불확실한 점은 양식에서 PHP 스크립트로 보낸 비밀번호를 사전 해싱해야한다는 것입니다. >
-
= ".."
이제 폼이 절차를 제출는 다음과 같이 수행 (짧은면에서)입니다 호출을 수신하고 올바른 함수를 선택합니다 ->
- 데이터베이스에 대한 함수 실행 및 저장.
기본적으로 호출은 저장에서 저장까지 세 파일을 통해 전송됩니다.
나는 해킹이 세 번째이자 마지막 파일에서 수행되었으므로 데이터가 도용되어 일반보기로 볼 수 있다고 생각하고 있습니다.
초기 양식 제출 중에 일부 JavaScript로 암호를 해시해야하는지, 아니면 안전합니까? 최종 사이트는 SSL 인증서를 사용할 가능성이 높지만 안전한 지 여부는 아직 확실하지 않습니다. 컨트롤러 사이의 암호를 하이재킹에 대한
당신이 해시 경우 브라우저에서 웹 서버로 암호를 보내고 서버에서 다시 해시하면 결국 저장되는 암호는 거의 약화됩니다. 초기 해시는 암호의 엔트로피를 줄여줍니다. SSL을 통해 전송하는 경우 브라우저와 웹 서버 간의 보안이 SSL에 의해 처리되므로 브라우저에서 해시 할 필요가 없습니다. –
모든 PHP 스크립트가에서 실행됩니다. 하나의 인터프리터 인스턴스. non-issue는 대부분 PHP가/POST 데이터 형식을 읽는 방법입니다. attachemen 파일이있는 경우 임시 파일이 생성됩니다 (대부분의 로그인 양식에서는 가능하지 않습니다). 아마도 HTTP를 통해 전송되는 해킹되지 않은 비밀번호를 묻는 중입니까? 그것은 TLS마다 해결할 수 있습니다. – mario
저는 오늘 제가 가진 해결책을 가지고 최선을 다할 것을 바랍니다. 시간 내 주셔서 감사합니다. – Markus