我的同事建议我在将登录名/密码发送到后端之前先对其进行加密。
我们使用https,所以在任何情况下我都看不到为什么要这样做。
根据定义,Https本身就是关于加密数据并保护我们免受“中间人”攻击。
对我来说,这并不是有人说我们应该保护我们的客户端免受计算机上的病毒和嗅探器的攻击,这些病毒和嗅探器可以使用RSA算法解密SSL流量。这取决于计算机的所有者。防病毒软件可以很好地应对。
可以应用该数据的一个原因是,我们将这些数据存储在浏览器/客户端(例如,本地存储)中,我认为这是架构风险。所有数据都应保留在后端,浏览器在某种程度上应是无状态的。
问题:在什么情况下,如果需要,在通过https传输数据之前,我们确实需要加密数据?
提前感谢!
要保护资产(在这种情况下为数据)不受something的侵害,应该对资产(在这种情况下为数据)应用保护。如果您有威胁,则加密是很有意义的,因为这种情况会破坏此数据,建议的加密可以避免这种情况。
默认情况下,发送用户名和密码而不通过https进一步加密是一种标准且可以接受的事情。如果您能找到在特定情况下还不够的方法,则可以应用进一步的加密。例如,您可能想要保护它免受中间人攻击,例如,在客户端上安装了根证书的公司代理(在公司设置中非常常见)。
尽管请注意,加密一点也不简单,但是密钥管理相对困难。客户将如何拥有密钥,如何存储密钥,如果密钥被泄露您将如何撤销密钥,等等。
通常,走这条路不值得。在某些特定情况下,可能是。