작은 웹 응용 프로그램을 작성하기 시작했으며 로그인 보안에 대해 생각하기 시작했습니다 (관리에만 사용됨).SSL없이 보안 인증
내가 할 수만 있다면 CACert 또는 자체 서명 된 SSL 인증서를 설치 하겠지만 지금은 로그인하는 유일한 사용자가 될 것이지만 내 호스트는 너무 수용적이지 않습니다.
SSL없이 사이트를 보호하기위한 합리적인 옵션이 있습니까? 인증 옵션에 대해 생각해 봤습니다.
JavaScript로 소금기가있는 해시를 구현합니다. 로그인 페이지가로드되면 솔트 서버 측을 생성하십시오. 이를 클라이 언트에 클라이언트로 보내고 세션 변수에 저장하십시오.
다이제스트 인증. 방금이 아이디어를 찾은 것을 알았고 아마도 내 자신의 권한을 굴리는 것보다 훨씬 합리적 일 것입니다.
OpenID. 오픈 표준이므로 암호가 필요하지 않습니다. (로그인 프로세스에 보안을 추가하기 위해 OpenID 제공 업체의 SSL을 도용 할 수는 있지만) OpenID가 작동하는 방식이나 안전성에 대해서는 잘 모릅니다. (연구를 필요 예를 들어, 오픈 ID 인증을 재생할 수 있습니다.?)
이 모두의 문제가 있습니다 :
-
가 안전, 모든 그 밖의 것이 확실하다
내가 로그인 한 후 앱 보안을 유지하기 위해 생각할 수있는 유일한 옵션은 역겨운 자바 스크립트와 PHP로 암호화 된 ASCII 블록을 앞뒤로 보내는 것이다. 나는 이것을하고 싶지 않다.
내 호스트의 축복 또는 개입없이 서버 측 스크립팅 언어로 구현할 수있는 암호화 (pageloads 및 POST 용)가 있습니까? 브라우저에서 지원할 수 있습니까? SSL없이 세션을 도용 당할 수 있습니까?
이런 상황에서 당신은 무엇을 할 것입니까?
어떻게 이런 말을 구현할 수 있습니까? –