¿Hay alguna forma de enviar una contraseña a través de JSONP (GET) a través de HTTPS (SSL)? ¿Crypto quizás?

Question

¿Hay alguna forma de enviar una contraseña a través de JSONP (GET) a través de HTTPS (SSL)? ¿Crypto quizás?

#1 de vrtjason (1 votos)

0

Entiendo que enviar contraseñas en forma clara sobre GET no se considera seguro porque la cadena de consulta puede ser registrada por múltiples escuchas.

Sin embargo, si REALMENTE necesito usar JSONP para enviar un nombre de usuario y contraseña a mi servidor, ¿hay alguna forma de hacerlo?

¿Quizás algo de criptografía en el back-end y en el front-end?

Estaba tratando de tener un enfoque simple para que mis usuarios inicien sesión en dos dominios (no subdominios) al mismo tiempo, sin romper las reglas de CORS. Básicamente, lo que obtengo en mis registros ahora es esto

GET /login/jsonp?callback=jQuery21403191181201609543_1535388742134&email=email%40gmail.com&password=SjRrNOHzN&_=1535388742135 200 32.987 ms - 130.

Creo que dicha consulta no es segura.

passwords cryptography tls http json

pregunta Emilio 27.08.2018 - 19:29

fuente

1 respuesta

Lea otras preguntas en las etiquetas passwords cryptography tls http json

¿Cómo usar la inyección personalizada en sqlmap? generar frases de contraseña de varias palabras a partir de una lista de palabras

score 1 · Answer 1

JSONP se usa generalmente con un servidor que envía datos a un cliente, envuelto en una llamada de función que se ejecuta en el cliente mediante javascript. El envío de datos a un servidor no requiere JSONP, solo requiere una solicitud HTTP normal.

Definitivamente no debes usar el método GET para enviar pares de nombre de usuario y contraseña. En segundo lugar, su respuesta del servidor no debe incluir las credenciales de inicio de sesión; los datos confidenciales de inicio de sesión solo deben ir en una dirección (del cliente al servidor) y nunca deben reflejarse. Lo que sugeriría es dos llamadas asíncronas, una a cada servidor. Probablemente quiera hacer esto en paralelo, en lugar de uno después del otro, utilizando Promesas. Luego, si ambas promesas se resuelven y ambos servidores indican un inicio de sesión exitoso, envíe los identificadores o tokens de la sesión en la respuesta de cada servidor.