Parece que la mayoría de los sitios web principales usarán un dominio seguro, pero hay algunas excepciones importantes, especialmente Facebook y Twitter.¿Es un dominio seguro (HTTPS) totalmente necesario para una página de inicio de sesión?
Supongo que las ventajas de utilizar un dominio seguro son evidentes: sus credenciales de inicio de sesión nunca se transmiten en texto plano.
Entonces, ¿cómo los sitios importantes como Facebook y Twitter se salieron con la suya? Si un dominio seguro no está disponible por alguna razón, ¿qué precauciones adicionales podría tomar?
Dado que los valores hash se envían sin cifrar, todo lo que cualquiera debería hacer es enviar los mismos valores hash al servidor para iniciar sesión. Además, dado que la secuencia de comandos del lado del cliente es legible, cualquier algoritmo para actualizar los valores estaría disponible para un pirata informático. –
@Jeffrey "cualquier algoritmo para modificar los valores estaría disponible para un pirata informático". esta parte es irrelevante, el solo hecho de saber que un valor se ha modificado con MD5 no lo hace más débil. Si bien hay tablas de arcoiris para descifrar el hash MD5, si tiene una contraseña segura, ninguna tabla de arcoiris la golpeará. Sin embargo, la primera parte de poder simular la publicación del valor hash es legítima. –