用户口令保护新招.docVIP

经常有读者询问，如何在其站点上使用javascript，以确保用户登录时的口令不会外泄。对于这样的问题，我的第一反应就是告诉他们使用SSL（安全套接字协议层）。如使用正确，SSL对于安全要求较高的Web应用是最佳的解决方案。但是，也有相当一部分开发者，他们的Web应用对安全性的要求并不高，因此他们并不希望访问者使用SSL 登录。　　Web应用一般使用一种叫做“会话状态管理”(Session State Management) 的技术来追踪和管理浏览器与服务器之间的相互活动。因为每个浏览器的浏览要求相对于其他浏览器都是独立的（正如超文本传输协议中定义的那样），所以Web 应用必然使用某些技巧，如Cookie、隐藏表格字段、或重写URL，它们可以识别出服务器与某个浏览器进行的独立会话。大多数的服务器端编程环境（如 ASP、PHP、ColdFusion等）都使用Cookie。　　会话状态管理的问题在于从根本上讲它是不安全的。这些被用来管理会话状态的Cookie、表单值、或URL要在浏览器和服务器之间往来传送，黑客可以在途中拦截它们。一旦拦截成功，黑客就可以利用这些信息强行接管用户会话。　　在大多数服务器端脚本编写环境里，你都可以采取一些措施以减少此类泄密的发生。例如，你可以为Cookie设定很短的使用期限，应用“难预期会话状态”信息。然而，最安全的解决方案还是使用SSL。使用