7.2. 密碼嗅探

? 盡管攻擊者通過(guò)嗅探（察看）你的用戶(hù)和應(yīng)用間的網(wǎng)絡(luò)通信并不專(zhuān)門(mén)用于訪問(wèn)控制，但要意識(shí)到數(shù)據(jù)暴露變得越來(lái)越重要，特別是對(duì)于驗(yàn)證信息。

?

使用SSL可以有效地防止HTTP請(qǐng)求和回應(yīng)不被暴露。對(duì)任何使用https方案的資源的請(qǐng)求可以防止密碼嗅探。最好的方法是一直使用SSL來(lái)發(fā)送驗(yàn)證信息，同時(shí)你可能還想用SSL來(lái)傳送所有的包含會(huì)話標(biāo)識(shí)的請(qǐng)求以防止會(huì)話劫持。

? 為防止用戶(hù)驗(yàn)證信息不致暴露，在表單的action屬性的URL中使用https方案如下：

CODE:

?

? <form action="https://example.org/login.php" method="POST">

? <p>Username: <input type="text" name="username" /></p>

? <p>Password: <input type="password" name="password" /></p>

? <p><input type="submit" /></p>

? </form>

高度推薦在驗(yàn)證表單中使用POST方法，這是因?yàn)闊o(wú)論是否你使用了SSL，這樣做與GET方法相比，驗(yàn)證信息較少暴露。

? 盡管這樣做只是為了保護(hù)用戶(hù)的驗(yàn)證信息不被暴露，但你還是應(yīng)該同時(shí)對(duì)HTML表單使用SSL。這樣做不是出于技術(shù)上的原因，但是用戶(hù)在看到表單被SSL所保護(hù)時(shí)，在輸入驗(yàn)證信息時(shí)會(huì)感覺(jué)更為舒坦(見(jiàn)圖7-1)。

?

圖 7-1. 大多數(shù)瀏覽器在當(dāng)前資源被SSL所保護(hù)時(shí)會(huì)顯示一個(gè)鎖形圖標(biāo)

總結(jié)

以上是生活随笔為你收集整理的php 安全基础 第七章 验证与授权 密码嗅探的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。