今、私は混乱しています。私はライブラリ上のSOユーザから、認証のためにcodeigniterを使うよう助言を得ています。私はdx_authとsimpleloginsecureを調べました(私は、安全なハッシングと小さなフットプリントのために後者を使用すると思います)。PHPセキュアログイン - クライアント側のオプション?
しかし、どのようなクライアント側でパスワードをハッシュでしょうか?私は図書館の資料でこれについて何の言及も見ていない。これらのライブラリの安全性にかかわらず、クライアント側の暗号化(js)が必要でないため、パスワードは決してプレーンテキストでは投稿されません。または私は何かが欠けていると、これらのライブラリは何とかこれをカバーしていません...
おかげ
アップデート:下のカップルの答えはSSLを示唆しています。しかし、私はこれらのphp(codeigniter plugin)ライブラリがSSLの代わりに使われているという印象を受けました(私はここで完全に間違っていました)。私が間違っている場合は、SSLなしでこれを達成する安全な方法がありますか? (以前は、投稿する前にパスワードを暗号化するためにjavascriptのmd5ハッシュ関数を使用していましたが、もっと安全なものが望まれていました)。
更新2私はSSLを使用する必要がありますのでコンセンサスのようです。これが当てはまる場合は、あらゆる種類のハッシュを実行するすべての派手なPHP認証ライブラリのポイントは何ですか? SSLがクライアントからサーバーへの暗号化を処理する場合、これらのライブラリ(dx_authなど..多分役割機能を追加する以外に)を使用するポイントは何ですか?サーバー/データベース上のデータの安全な保管を保証するだけですか? (私は、私が取り組んでいるプロジェクトのデータの感度のレベルをstackoverflowのものと比較します。クレジットカードがないか、過度に敏感なもの、ユーザー名、パスワードなど)
erm ...ハッシュを使用すると、許可しない限り誰かがあなたのサイトにアクセスすることはできませんが、これはお勧めできません。 –
私はそれを認識しています。問題があるjavascriptを使用してクライアント側で暗号化している場合、アプリケーションはそれを許可する必要があります – Mark