코드에 불이 차가운 열정 코드

아약스 방법에 대한 로그인 자격 증명을 확보

대부분의 JavaScript 및 휴양 또는 다른 웹 서비스를 사용하게 다른 클라이언트가 이러한 서비스에 대한 최종 사용자 액세스를 허용하는 인증 자격 증명을 사용해야합니다.

방법에는 여러 가지가 서버에 자격 증명을 얻을 수 있습니다. 하나의 인기있는 방법은, HTTP1.1 정식을 사용하는 중 하나 또는 기본적인 소화. 이 방법으로 문제는 그것이 세상에서 자격 증명을 숨기려하지 않습니다. 귀하의 웹 트래픽에 아무도 듣는이 본질적으로 헤더에서 귀하의 자격 증명을 얻을 수 있습니다.

또 다른 방법은, 아마도 더 쉽게 과반수에 의해 사용되는 게시물에 로그인 자격 증명을 포함 또는 GET 웹 서비스를 만들은 것이 호출합니다. 그리고 마찬가지로 노출됩니다.

http://mywebserver.com/mywebservice/?user=admin&pass=1234
보안 수송은 매우 높은 않는하게합니다.

SSL은 정말로있는 유일한 방법은 귀하의 자격 증명은 세계의 나머지 부분에서 숨겨진 남아 확실하게하는 것입니다.

서버가 로그인 자격 증명을 왜곡시키지위한 토큰을 생성

난 다른 전술을 촬영했습니다. 그것은 다음과 같은 과정을 실행합니다 :

1. 서버에서 임의의 토큰을 클라이언트 요청에 그것의 동안 세션을 사용할 수 있습니다.
2. 일단 토큰은 클라이언트가 암호의 끝에 토큰을 연결한,받은 후 전부에 대한 MD5 해시를 않습니다.
3. 때 자격 증명을 서버에 의해하는 데 필요한 클라이언트는 다음 passhash & 패스 사용자를 = '사용자 이름'= [있는 md5 (암호 토큰 +)]
4. 서버는 그것의에서 같은 과정 끄트머리를 비교합니다. 두 해시가 일치하면, 비밀 번호는 그 해시에서 사용이 같은 잘되어야합니다.

이 방법의 장점은 제대로 올바른 자격 증명을 확인하는 100 % 신뢰할 수있는 방법입니다 있지만, 그것은 또한 과정을 반대하는 것은 불가능하고 다시 암호를 얻을 수 있습니다.

한 걸음 더 나아가 물건을 촬영

초기 단계의 날]) 표시였습니다 사용하여 [(비밀 번호의 MD5 +. 내가 지금은 난 숨을하고 싶은 다양한 정보를 사용하여 업데이 트 :
[있는 md5 (사용자 이름 + 비밀 번호 +의 my_ip 안으 + 토큰 내장) 난처] 스크립트의 사이트가 일부 내장에 - 십자가

매우 열광적인 악독하고 해커가 여전히 노력으로 세션을 납치하실 수 있습니다. 그리고 당신은 그것이 정기적으로 현재 세션에 대한 토큰을 변경하여 그 / 그녀 그만한 있지 않은지 확인하실 수 있습니다.

KnowledgeTree 자바 스크립트 API를

에 개발자로서 KnowledgeTree 전 오전 API를 통해 기능을 현재 작업 집합의 서버 노출이됩니다 도서관의 자바 스크립트. KnowledgeTree의 핵심 구성 요소는 엄격한 보안입니다. 방법 상기 (또는 그것의 변종)의 과정에서 KnowledgeTree jAPI 대한 구현되고있다.

* KnowledgeTree 엔티티는 OpenSource 문서 관리를위한 시스템 수준의 폭로로 엔터 프라이즈.

이후 및 화재 경보기!