我想到了一個沒有SSL的認證系統似乎相當安全.我忽略了重要的事情嗎？

>用戶點擊登錄頁面

>服務器生成用于傳輸的鹽(t-salt)并將其存儲在會話中

>服務器將t-salt作為加載的登錄頁面的一部分發送給用戶

>用戶輸入用戶名和密碼并點擊提交

>瀏覽器MD5加密密碼和t-salt

>瀏覽器將用戶名和MD5(密碼t-salt)發送到服務器

>服務器使用用戶名(*)從數據庫中檢索密碼

>服務器MD5加密從步驟7檢索的密碼以及步驟2中存儲在會話中的t-salt

> Server比較步驟6和步驟8中的兩個MD5

>如果它們相同,則登錄成功通過驗證

>服務器從會話中刪除t-salt(在步驟2中添加)以防止潛在的重放攻擊

*請注意,步驟7中檢索的密碼不能單向加密(通常的做法),以便步驟8工作.但是,雙向加密系統仍可用于在數據庫級別保護密碼. (嘿,這帶來了允許更加用戶友好的密碼恢復過程的附帶好處.)

除了上面的說明,這個計劃的優點和缺點是什么？

解決方法:

你發送t-salt和哈希算法algorythm.計算哈希中的密碼不會花費很長時間.

你應該在我看來重新考慮SSL.

標簽：php,mysql,database,security

來源： https://codeday.me/bug/20190711/1437373.html

總結

以上是生活随笔為你收集整理的php ssl 不验证失败,php – 没有SSL的安全身份验证的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。