关于前端是否应该对密码hash后传输的观点:
101
leafin 224 天前
恕我直言,你连网站服务器都不信任了,却又在不同网站使用相同密码?
就好像你把车借给不信任的人开,却把车钥匙和家门钥匙一起给出去一样好笑。 如果这是题主的真实需求,那我对题主是否真的在乎安全表示怀疑,如果这不是题主的真实需求,那我只能说醒醒吧别做梦了 安全必须由自己负责 |
103
carpeDiemJll 223 天前
@mark2025 #84 [globalsalt 的目的是即便用户在不同网站输入的相同口令,也不会有相同的 pass1] 这句话没太懂,你既然全局使用一个全局固定盐 globalsalt ,那么生成的 pass1 怎么可能不一样呢? 这里的不同网站,其后端也也不一样吧?
|
104
XiaoXiaoMagician 223 天前
一路看下来,我觉得前端 hash 唯一有用的目的在于防内鬼,要么防内部技术人员搞恶趣味的东西。
现在部分公司有前端 hash 的逻辑大概率就是我上面说的,要么就是 http 的历史遗留产物仅此而已。 |
105
Wy4q3489O1z996QO 223 天前
来个 AI 简要的解读一下这个帖子的进展和讨论走向
|
106
Jirajine 223 天前
@BeautifulSoap 所以你偏题了,这里讨论的不是不信任中间件,而是不信任服务端,中间件的攻击面只是服务端不被信任的原因之一。
后端不应该能够得知密码原文因为后端不需要得知密码原文也能实现完整的功能。而前端多进行一步加盐 hash ,也就是不让后端得知不需要的隐私信息的行为,你称之为“没有开发经验,连基本 it 知识和安全思维的没有的逆天”。 |
107
mark2025 223 天前
@carpeDiemJll 意义在于假如你的通用密码是固定的,那么采用相同散列算法(比如 md5 )的结果一定是相同的。如果是添加了全局盐生成的,那么至少我这儿的值和其他地方不一样。那么如果这儿被拖库拿到你的密文(比如 md5(pass+globalsalt ),也无法简单通过社工获得你的明文口令。
|
108
carpeDiemJll 222 天前
@mark2025 #107 我明白。后面的 [也无法简单通过社工获得你的明文口令] ,我的疑虑是 [如果是添加了全局盐生成的,那么至少我这儿的值和其他地方不一样] ,盐是全局相同的,那么 md5(pass+globalsalt )怎么可能不一样呢?这里的全局说的是一个系统的全局吧?比如 V2EX 有一个全局盐,知乎有个全局盐,它俩不一样。
|
109
mark2025 221 天前
@carpeDiemJll 是的,假定是大家都使用各自的全局盐(以及算法),来保证即便是相同的明文入库的密文也是不同的。其实大家登录密文算法都不一样,这个办法主要是确保”自己“网站被拖库后不会被简单解算出明文从而殃及用户在其它网站的账号。属于自律行为。
|