Хеширование пароля в клиентском браузере
класс Global.asax является Вашей последней линией обороны. Посмотрите на:
protected void Application_Error(Object sender, EventArgs e)
метод
6 ответов
Используйте javascript для вычисления хэша. См. и для примера того, как вычислять хэши SHA-1 в JS.
Помните: если вы ставите себя в зависимость от Javascript, ваша система выйдет из строя, как только кто-то отключит JS. Вам следует использовать HTTPS, если вас это беспокоит, поскольку у него есть свои недостатки (например, сертификаты стоят денег, если вы хотите, чтобы они немедленно принимались браузерами).
Не у всех людей включен JavaScript в своих браузерах, и даже идея отправки хэшей по текстовому каналу, я считаю, недостаточно безопасна.
Я бы порекомендовал вам рассмотреть Защищенное соединение SSL .
На этом сайте есть достаточно подробные сведения о хешировании / криптографии: Библиотека шифрования JavaScript
Зачем вам это делать? Фактически, хеш-пароль стал паролем, и человек-посередине, который перехватывает хеш-код, может использовать его для аутентификации и выполнения любых действий в качестве пользователя. С другой стороны, если вы не верите в посредника, почему бы просто не отправить сам пароль?
JavaScript side encryption like the jQuery Encryption library stops Eavesdroppers. However, MITM (Man-in-the-Middle) can still occur. SSL/TLS is the ultimate choice that is highly recommended to take unless you are on shared hosting (no dedicated IPs) or your site is receiving so much traffic that you can't simply encrypt all connections (JS, CSS, HTML, ...).
Попробуйте использовать этот плагин шифрования jQuery . Из любопытства, что не так с использованием SSL / HTTPS и шифрованием на стороне сервера?