Selamat malam, saya ingin tahu apakah ketika Anda mengirimkan permintaan POST ke Django dengan kredensial Anda (nama pengguna/email dan kata sandi) adalah normal/simpan agar info itu terbuka di Data Formulir (alat dev google -> jaringan -> url) .

Seperti itu:

Form data from google devtools showing username and password (Django app)

Mungkinkah menyembunyikan info itu atau setidaknya mengenkripsi?

Banyak terima kasih sebelumnya!

1
Caio César P. Ricciuti 20 November 2020, 15:59

1 menjawab

Jawaban Terbaik

Ini bukan masalah. Permintaan Anda harus dilindungi oleh HTTPS dan tidak ada yang bisa melihat konten kiriman formulir Anda.

Bayangkan Anda dapat mengenkripsi kata sandi Anda di klien: jika seseorang dapat melihat kata sandi "plaintext" Anda, mereka juga dapat melihat kata sandi terenkripsi Anda. Karena server Anda mendekripsi kata sandi itu, penyerang teoretis hanya akan mengirim versi terenkripsi alih-alih versi "teks biasa" Anda. Kata sandi "terenkripsi" sekarang hanyalah kata sandi plaintext Anda yang lain, dan kami kembali ke awal.

Tidak banyak cara yang baik/mudah untuk melindungi kunci enkripsi pada klien dan mempertahankan kegunaan, terutama dalam skenario aplikasi web. Inilah yang dirancang untuk dipecahkan oleh https/tls, secara umum.

1
Andrew Backer 20 November 2020, 21:04