對于Web應(yīng)用程序，當(dāng)HTTPS不能用作安全措施時，是否仍可以使登錄保持一定的安全性？例如：標(biāo)記登錄名，使重復(fù)攻擊變得困難？以某種方式從HTML密碼字段加密發(fā)送的密碼？特別是，我使用CakePHP和AJAX POST調(diào)用來觸發(fā)身份驗證（包括提供的用戶名和密碼）。有關(guān)問題的更新：HTTPS不可用。期。如果您不喜歡這種情況，請將其視為理論問題。沒有明確的要求，您擁有現(xiàn)實生活中提供的任何HTTP，PHP和瀏覽器（cookie，JavaScript等）（沒有魔術(shù)RSA二進制文件，PGP插件）。問題是，什么是最好的，您可以解決這種情況，這比發(fā)送密碼明文更好。知道每種這樣的解決方案的缺點是一個加號。任何比普通密碼更好的改進都是值得歡迎的。我們的目標(biāo)不是100％l33tG0Dhx0r-proff解決方案。破解起來比破解復(fù)雜要好，這要比泄露密碼的瑣碎嗅探要好。