#security #hash #passwords #bcrypt
Вопрос:
Я только что прочитал много статей о хешировании и о том, что хеширование на стороне клиента не требуется при использовании SSL.
Итак, у меня есть веб-сайт, где я хэширую пароли с помощью bcrypt, то есть соления. Но я могу просто прочитать пароли в обычном тексте перед хэшированием.
(В моем случае просто: console.log(req.body.password )
Как я могу это предотвратить?
Комментарии:
1. Если вы не доверяете серверу, зачем вы регистрируетесь? В любом случае, почитай ПЭЙКА . И это здесь не по теме. Спросите в области информационной безопасности, где уже есть вопросы/ответы
2. Даже если вы хэшируете его на стороне клиента, владелец вредоносного сайта может просто прочитать его с помощью JavaScript, прежде чем вы это сделаете.
console.log(document.getElementById("password").value)это не намного сложнее.
Ответ №1:
Проблема в том, зачем тебе это делать.
Вы являетесь владельцем сайта и несете ответственность за такие действия. Конечно, вы можете просто добавить такие строки в свой код и получить всю информацию, и нет, этого нельзя предотвратить. На каждом сайте, который вы регистрируете, в какой-то момент коду всегда будет передан пароль с открытым текстом.
Люди исправляют такие проблемы с доверием, используя менеджер паролей, который случайным образом генерирует хороший пароль.