web_密码传输

来源：http://blog.163.com/sir_876/blog/static/117052232012322102922392/        

密码的传输比密码的存储更加敏感和不安全，一般的应用大致有三个层次的传输策略：

1. 使用 HTTPS 加密传输，非常安全，但对 Server 性能要求很高。也影响登录速度。一般用在高安全性的登录上面。Google 和微软的登录都强制使用 HTTPS 确保安全第一。
2. 使用随即密钥对密码进行加密变换后传输，相对安全，密码明文很安全，但仍可能发生重放攻击。这种方式是性能和安全性的折中。一般的服务使用足亦。国内的开心网就使用这种方式进行登录认证。

3. 不做任何修饰，直接将密码明文通过 HTTP POST 传输。这种方式漠视了用户密码的安全。实现起来非常简单，但却是对用户隐私和资料的不负责任。很可惜，国内几个著名网站都是采用这种简单方式。用户的应对 之道就是不要在这些网站上使用有价值的密码，例如你银行卡的密码。

web_密码传输

原文：http://www.cnblogs.com/sonice-cinsy/p/4318699.html