首頁猿問 http下是否有加密登陸密碼的必要

http下是否有加密登陸密碼的必要

JavaScript

qq_遁去的一_1 2019-04-21 20:41:10

最近聽聞@callmewhy同學(xué)因?yàn)榇藛栴}和某某同學(xué)爭論不休，不惜大吵一架，特地把此略顯糾結(jié)的問題放到此處，歡迎各位大牛來噴？簡單說下當(dāng)時(shí)吵架的緣由（來自@callmewhy的回答）。起因是一個(gè)90后團(tuán)隊(duì)搞的一個(gè)流氓公司，做Mac下的盜版應(yīng)用商場，被大別罵了一通，同時(shí)調(diào)侃http協(xié)議明文傳輸用戶名密碼，太低級。后來有個(gè)人站出來，提出“前端對數(shù)據(jù)進(jìn)行加密沒有意義”這個(gè)觀點(diǎn)。(只談技術(shù))

查看完整描述

2 回答

蝴蝶刀刀

TA貢獻(xiàn)1801條經(jīng)驗(yàn) 獲得超8個(gè)贊

加密不等于混淆，加密的文本需要解密得到原文，而混淆則不需要。如果問題改成http下提交登錄密碼時(shí)是否需要混淆，那么答案是肯定的：”是，建議這么做。“但這和這個(gè)問題討論的內(nèi)容就有些偏差了。有時(shí)間折騰前端加密，還不如去買一個(gè)https證書，靠算法加密的代碼只是自欺欺人。對于文中提到的實(shí)際案例，用明文傳遞AppleID和密碼，這種情況下密碼是必須以可逆加密傳輸?shù)椒?wù)器的，所以監(jiān)聽者一定是有辦法解密的，幾乎沒機(jī)會防住。如果真的想讓前端加密有意義，那就像SSL一樣通過非對稱加密并且一次一密的方式和服務(wù)器交互，但是都愿意這么折騰了，為什么還不用https？一個(gè)證書也就300元，在帝都也就是一個(gè)前端開發(fā)工程師半天的工資而已。所以，前端折騰加密真心沒用，在意安全性的人會用https，不在意的人隨他去吧。