我正在考虑安装SSL / TLS对我的域名。 有迹象表明,已经困扰我两个问题:
是否存在这样一种HTTPS连接可以回退到访问http任何情况下? 所以,例如,如果我的AJAX看起来是这样的
$.post("https://foo.com", function(){ }); 有没有这个可能改变任何机会
$.post("http://foo.com", function(){ }); 即使它确实将我的域名是在仍然入店http://foo.com ?
接下来,我对使用SSL / TLS,从我读过这似乎是相当准确的假设,如果我有这样的启用,即使我发送纯文本格式的用户凭据,它仍然是安全的(会有加密博览盐和一切当然在服务器上)。 到什么程度,这是真的,并会建立在客户端上的哈希,然后将其发送通过HTTPS是任何更安全?
更新 :如果发送明文通过SSL足够安全,那么什么是真正使用像cnonce事情的意义呢? 是不是在客户端上刚刚不必要的开销?
没有,从来没有HTTPS回落到HTTP自动。 它将使用户采取深思熟虑的行动。 如果你只是通过将它的网址到地址栏去一个网页,这是容易的; 表单提交它很难。
是的,通过SSL发送纯文本是很好。 事实上,发送哈希密码并没有真正提高安全性太大的话 - 如果有人设法嗅出连接并获取哈希密码,这是所有他们需要的是能够登录到该网站。 它有一个小的优势:如果用户使用在多个网站使用相同的密码,学习对一个网站的哈希密码不会帮助他们进入一个使用不同(或没有)哈希另一个站点。 而且它不太可能是送盐渍哈希可行的,因为客户不知道盐。
一个cnonce增加了额外的保护水平。 如果,不知何故,有人设法破解SSL加密的cnonce阻止他们从中得到一个可用的密码。 这基本上解决了我上面为什么发送哈希密码不会帮助提出的观点:你需要什么样的东西,从会议对会话的更改,以及cnonce提供这一点。
见https://security.stackexchange.com/questions/3001/what-is-the-use-of-a-client-nonce
