Пропустить до основного содержимого
Слушайте, я тут такую странную вещь вдруг узнал. Вот 2025 год на носу, четверть века прошла.
И человек пишет про то, что пароли, которые мы вводим на сайтах при авторизации, посылаются почти всегда в открытом виде, как есть. Я как сущий дилетант почему-то думал, что любая страничка авторизации, в которую я копипастю пароль из менеджера, первым делом его хеширует по хитрой схеме, и посылает всегда и только хеш! И при регистрации - хеш, и при логинах, тем более, хеш, а тут...
Скажите, это что, неужто правда?
Скрин на англ. но для вас это не проблема, перевод на всякий случай от deepL.
Эта запись была отредактирована (1 мес. назад)
ХаББыватель
Всё так и есть. В этом нет никакого секрета. В этом легко убедиться, открыв в браузере консоль разработчика (F12), перейти на вкладку "Сеть", жмакнуть отправку формы с паролем и посмотреть как оно уходит на сервер.
far5
я в шоке - это ещё слабо сказано.
Тут хочется возопить: но почему? это же жесть какая-то, с такими мощностями даже на слабых смартах - и не хешировать пароли прямо в браузере.
ХаББыватель
Это так не работает. Либо каждый раз пересылать приватный ключ, который можно также перехватить как пароль, либо хранить приватный ключ на сервере в неизменном виде и тогда перехват хеша будет тоже самое что перехват пароля.
Sasha
А как сервер по полученному от клиента хешу проверит правильность пароля? Из хеша ведь нельзя восстановить пароль.
ХаББыватель
Можно захешировать на стороне сервера зная приватный ключ и сравнить хеши.
ХаББыватель
p.s. но опять же эта так себе идея т.к. перехват хеша = перехват пароля т.е. бессмысленная накрутка логики
Михаил
@far5 @ХаББыватель Страницы регистрации, логина и прочие подобные загружаются по протоколу https, и отправка пароля происходит по этому же протоколу. Весь трафик между сервером и клиентом при этом зашифрован.

При использовании TLS 1.3, что сейчас принято в приличном обществе, ключи для шифрации используются одноразовые, нигде не сохраняющиеся. Так что даже перехватив весь трафик и имея серитификат сервера, расшифровать этот пароль будет практически невозможно.

Поэтому вполне нормально передавать его из браузера "открытым текстом".
@far5 @ХаББыватель