Problemas de cifrado de datos POST
En primer lugar, existen dos métodos de uso común:
Los controles de seguridad del lado del navegador, Taobao, los bancos, etc. utilizan este método. La ventaja es la alta seguridad, pero la ventaja es que la seguridad es alta. la desventaja es la alta inversión;
El uso de SSL para completar el inicio de sesión tiene un alto factor de seguridad, pero requiere una gran inversión. La ventaja de utilizar este método es la alta seguridad, pero la desventaja es la alta inversión;
El uso de SSL para completar el inicio de sesión tiene un factor de seguridad general y una baja inversión (debe solicitar un certificado SSL)
En cuanto al uso del cifrado js antes de publicar, en principio no tiene ningún sentido. Como dijiste, js es texto sin formato y no es difícil de descifrar.
Si estás desarrollando una aplicación que requiere seguridad, se recomienda que utilices solo ssl, o si requieres un nivel de seguridad muy alto, elige controles de seguridad.
De hecho, para el 80% de los sitios web, la seguridad de la información de inicio de sesión no es importante, especialmente porque la posibilidad de que la captura de paquetes provoque una fuga es muy baja. Debido a que el umbral técnico para esto sigue siendo muy alto, si el valor de la cuenta robada no es alto, pocas personas lo harán. Al igual que Weibo, QQ, etc., los proveedores de servicios solo proporcionan varias contraseñas y no brindan demasiada protección para el proceso de envío de la cuenta.
El 99% de los problemas de pérdida de cuentas provienen de troyanos que completan el robo de cuentas al monitorear los eventos del teclado, y JS es impotente contra este comportamiento. Esto es válido incluso para los dos métodos de cifrado mencionados anteriormente.
Para los sitios web normales, una política común es exigir la verificación de la dirección de correo electrónico segura del usuario para que, cuando se pierda una contraseña, se pueda restablecer a través de la dirección de correo electrónico segura, lo cual es suficiente. No se recomienda probar funciones adicionales como la recuperación de contraseñas de teléfonos móviles y la vinculación de tarjetas de identificación. A menos que su sitio web sea lo suficientemente potente, las personas con un poco de conocimiento en seguridad no podrán ingresar su número de teléfono móvil y su tarjeta de identificación en un sitio web incomprensible. Del mismo modo, incluso si proporciona controles de seguridad, es posible que muchas personas no opten por instalarlos porque no puede demostrar que los controles de seguridad que proporciona son seguros.
No pienses que el robo de paquetes es demasiado simple Jaja, quién sabe cuándo inicia sesión el usuario, de dónde viene y dónde lo envía. No puedes vigilarlo las 24 horas. Un precio tan alto. Hizo todo lo posible para robar y ni siquiera tenía unos pocos miles de yuanes. No lo hizo en vano. Mire a esas personas que pueden robar información de esta manera. ¿Crees que estaría interesado en esa pequeña cantidad de diez mil yuanes? Bueno, a menos que alguien pague por su ataque malicioso a su sitio web. Lo más importante es que debes cuidar tus copias de seguridad. Esto también es muy simple, solo preste atención a las copias de seguridad en momentos normales. Esa es aproximadamente la misma probabilidad de una inundación o un terremoto.