Problemas de cifrado de datos postales
Controles de seguridad del lado del navegador, Taobao, bancos, etc. La ventaja de utilizar este método es un alto factor de seguridad, pero la desventaja es una gran inversión.
El uso de SSL para completar el inicio de sesión tiene un factor de seguridad promedio y una inversión baja (se requiere un certificado SSL).
En cuanto a usar js para cifrar antes de enviar, en principio no tiene sentido. Como dijiste, js es texto sin formato y no es difícil de descifrar.
Si la aplicación a desarrollar tiene requisitos de seguridad, se recomienda utilizar SSL. Si los requisitos de seguridad son muy altos, seleccione Control de seguridad.
De hecho, para el 80% de los sitios web, la seguridad de la información de inicio de sesión no es importante, especialmente porque la probabilidad de fuga debido al robo de paquetes es extremadamente baja. Debido a que el umbral técnico para la captura de paquetes sigue siendo muy alto, pocas personas lo harán si el valor de la cuenta robada no es alto. Al igual que Weibo, QQ, etc. , el proveedor de servicios solo brinda cierta confidencialidad y no brinda mucha protección para el proceso de envío de la cuenta.
El 99% de los problemas de pérdida de cuentas provienen de troyanos que roban al monitorear los eventos del teclado, y js es impotente contra este comportamiento. Incluso los dos métodos de cifrado mencionados anteriormente son iguales.
Para los sitios web normales, la práctica habitual es exigir la autenticación del correo electrónico seguro del usuario. Cuando se pierde la contraseña, la contraseña se puede restablecer a través del correo electrónico seguro, lo cual es suficiente. No se recomienda probar funciones adicionales como la recuperación de contraseña y la vinculación de tarjetas de identificación. A menos que su sitio web sea lo suficientemente potente, las personas con un poco de conocimiento sobre seguridad no ingresarán su número de teléfono móvil ni su tarjeta de identificación en un sitio web incomprensible. Del mismo modo, incluso si proporciona controles de seguridad, es posible que muchas personas no opten por instalarlos porque no puede demostrar que los controles de seguridad que proporciona son seguros.
No creas que es muy fácil coger un bolso. ¿Quién sabe cuándo inician sesión los usuarios, de dónde vienen y dónde envían mensajes? No puedes mirarlo las 24 horas del día. Ni siquiera vale unos miles de dólares. No había desperdiciado sus esfuerzos para conocer a alguien que pudiera robar información de esta manera. ¿Crees que estaría interesado en decenas de miles de dólares? A menos que alguien le pague para que ataque maliciosamente su sitio web. También es simple, solo preste atención a las copias de seguridad en momentos normales. La probabilidad es aproximadamente la misma que la de inundaciones y terremotos.