我有一个 Bugzilla 设置可供使用。我在 apache 上托管了它。当我们登录 Bugzilla 时,它会发送 POST 请求表单数据,其中包含纯文本形式的密码。
表单数据:
Bugzilla_login:[email protected]
Bugzilla_password:test
Bugzilla_login_token:
GoAheadAndLogIn:Log in
我认为这很危险,并且会遵守安全政策。
有什么方法可以隐藏它吗纯文本密码?
谢谢!!
答案1
最佳做法是使用 HTTPS。如果您正在寻找从哪里开始,Let's Encrypt 最近推出了一些不错的选择。如果您在浏览器中查看开发人员工具并登录您最喜欢的网站,很多网站都会以未加密的方式发送密码,而如今整体流量都是通过 HTTPS 加密的。
还请注意,设置 HTTPS 时,您需要确保对其进行签名/不使用旧密码套件/等等。廉价肮脏的捷径是,如果您进入浏览器并在 HTTPS 连接上看到旧的“大红色 X”,请尝试了解原因以及它是否对您的通信完整性有实际影响。