怎样防止别人用工具截取登录密码? 用HTTPS协议代替HTTP协议传递用户信息,还有用认证证书的,我知道这些,其他人补充吧。 解决方案 » 免费领取超大流量手机卡,每月29元包185G流量+100分钟通话, 中国电信官方发货 如果用https是否会对执行速度产生不良影响?用https是不是需要对每个页面都要进行设置呢?那样也太麻烦了?听说有一些小工具就可以截取密码的,好怕哟?我们做的就是普通的企业管理系统,需要用https吗?具体怎么做呢? 在客户端加密不安全,所以打算在javaBean中用MD5加密,但是这样做也需要先将用户填写的明文post出来呀?我现在担心的就是post出来的数据别人能用一些小工具截获数据包,特别是在公司,企业的局域网内? 登录密码直接post出去到底安全吗?大家做的系统对于登录密码进行处理吗? 用https。如果觉得效率不高而不管安全可不明智。好比吃饭累就不吃了,等死。 在post前,先将需要加密的明文加密,JAVABEAN提供个加解密的函数就行了,在数据库或者其他存储设备上存的是密文。这样即使截取的数据包也分析不出来 Most security,use public certfied key.Simple,use httpsDirectly posting the confidential message would rise the security problem.Don't do this. csdn的登录密码好像就是直接post出去的哟?! csdn的登录密码好像就是直接post出去的哟?! Obviously,u can run the sniffer in your local network.When someone access CSDN,we can dump the password easily. 如果觉得传输内容属于绝密性质的最好采用https双向认证加密模式!这方面的内容网上很多的。 csdn为什么不考虑sniffer?为什么csdn不用https? csdn为什么不考虑sniffer?为什么csdn不用https? 只是HTTPS难一点。一般人搞不懂。。所以也就安全一点了。我是这样看的。 你说的是怎么截获,监听TCP包吗?这个用HTTPS传输会好的,要是在本地用密码察看器那种玩意看你输入什么,那个我不知道 简单点的,使用Digest验证就可以了,即使截获的,也是被md5加密了的且每次都在动态改变的信息。 response.setStatus(401); response.setHeader("WWW-authenticate", //采用摘要编码加密传输密码 "Digest realm=\"CSDN\"," // +"qop=\"auth,auth-int\"," +"nonce=\"CjPk9mRqNuT25eRkassaajM09uTl9nM09uTl9nMz5OX25PZz==\"," +"opaque=\"5ccc069c403ebaf9f0171e9517f40e41\"," +"algorithm=MD5,");if (request.getHeader("authorization")!=null){bean0.setAuthinfo(request);response.setStatus(200);}......不要用Basci验证,那样的仅仅是Base64加密。很轻易就可以解码出来。 response.setStatus(401); response.setHeader("WWW-authenticate","Basic realm=\"呵呵哈哈\","); wellsoon您好!您上面说的是在JSP中吧?可如果我是用xsl即相当于HTML来向Servlet发送请求又该如何做呢? to beihua:与你怎么发的请求根本就无关啊,我上面的代码本来就是服务器端的写在serlvet(jsp里也可以)里的。如果使用摘要验证,即使被人抓取http数据包,得到的验证信息也是这样:Digest username="aaa", realm="delphibbs", qop="auth", algorithm="MD5", uri="/loginmd5.jsp", nonce="CjPk9mRqNuT25eRkassaajM09uTl9nM09uTl9nMz5OX25PZz==", nc=00000001, cnonce="f6669aead4b41a7c5550755c34f540b2", opaque="5ccc069c403ebaf9f0171e9517f40e41", response="66a612f6bc157ff67c3159a1b9c5e309"(我这里的用户名字是aaa,密码是bbb),每次的nc会自动变化,并且md5是不可反向解码的。所以即使得到数据包,也是基本不可能反向得到密码的。 wellsoon您好!请问是不是只要在Servlet中写上您上面所说的那几句话就可以了呢?还用配置TOMCAT的https吗?谢谢! wellsoon:您能不能把您前面所说的那段程序的完整代码贴出来?有更详细的文章吗?多谢! intellij idea8.1.2中找到实现一个类或者接口子类的快捷键 求助,自己编写的电子相册有问题! 如何在wicket中把一个页面文本框的值赋到另一个页面的文本框内 高手帮我看看这是什么错误? jsp连接postgresql的问题 <html:messages>和<logic:messagePresent>有什么区别? mysql远程连接的问题!!! 我用同一个InstallShield程序制作了两个软件的安装程 请问JAVA如何从ACCESS数据库中类型为“备注”的字段读取大文本? sevlet问题 请问怎么更新记录集,怎么打开一个可读写的结果集?急急急急 求救,不行了!
用https是不是需要对每个页面都要进行设置呢?那样也太麻烦了?
听说有一些小工具就可以截取密码的,好怕哟?
我们做的就是普通的企业管理系统,需要用https吗?
具体怎么做呢?
为什么csdn不用https?
为什么csdn不用https?
我是这样看的。
简单点的,使用Digest验证就可以了,即使截获的,也是被md5加密了的且每次都在动态改变的信息。
response.setStatus(401);
response.setHeader("WWW-authenticate", //采用摘要编码加密传输密码
"Digest realm=\"CSDN\"," // +"qop=\"auth,auth-int\","
+"nonce=\"CjPk9mRqNuT25eRkassaajM09uTl9nM09uTl9nMz5OX25PZz==\","
+"opaque=\"5ccc069c403ebaf9f0171e9517f40e41\","
+"algorithm=MD5,");
if (request.getHeader("authorization")!=null){
bean0.setAuthinfo(request);
response.setStatus(200);
}
......不要用Basci验证,那样的仅仅是Base64加密。很轻易就可以解码出来。 response.setStatus(401);
response.setHeader("WWW-authenticate","Basic realm=\"呵呵哈哈\",");
您上面说的是在JSP中吧?
可如果我是用xsl即相当于HTML来向Servlet发送请求又该如何做呢?
to beihua:与你怎么发的请求根本就无关啊,我上面的代码本来就是服务器端的写在serlvet(jsp里也可以)里的。如果使用摘要验证,即使被人抓取http数据包,得到的验证信息也是这样:Digest username="aaa", realm="delphibbs", qop="auth", algorithm="MD5", uri="/loginmd5.jsp", nonce="CjPk9mRqNuT25eRkassaajM09uTl9nM09uTl9nMz5OX25PZz==", nc=00000001, cnonce="f6669aead4b41a7c5550755c34f540b2", opaque="5ccc069c403ebaf9f0171e9517f40e41", response="66a612f6bc157ff67c3159a1b9c5e309"(我这里的用户名字是aaa,密码是bbb),每次的nc会自动变化,并且md5是不可反向解码的。所以即使得到数据包,也是基本不可能反向得到密码的。
请问是不是只要在Servlet中写上您上面所说的那几句话就可以了呢?
还用配置TOMCAT的https吗?
谢谢!
您能不能把您前面所说的那段程序的完整代码贴出来?
有更详细的文章吗?
多谢!