前端 web 密码加密是否有意义

突然想起 12306 明文储存密码以及密保问题答案

前端加密主要使用的是 javascript，众所周知 javascript 是暴露在任何用户面前的，所以但从加密的角度上来说，你加密的方式是暴露的，即使我不知道你是什么算法，但是我能用你暴露的 javascript 来计算出你的密码。所以前端加密从某种角度上来说形同虚设。

关于有没有必要加密？这个是有必要的。俗说防君子不防小人，但加密后能阻止一部分因技术不足的人来对 javascript 解密，提高攻击者成本。

然后如何增加解密者的难度呢？对 javascript 进行混淆、加密、压缩是一般使用的方式了，越是生成人类难以理解的语句对破解者来说更难。当然这一切是以牺牲性能为代价的。

︿(￣︶￣)︿

任何提高攻击门槛的做法都是有意义的

感觉一般加密意义不大，中间人重放就可以了，但聊胜于无
顺便一说 B 站采用的是前端非对称加密

一般来讲 https 就足够了。

请求日志里出现明文密码，要么是有 bug，要么是日志太弱，没法过滤敏感信息和 PII

@beiyu
非对称加密。用公钥加密，知道 JS 源码也没用。
但是我觉得在 HTTPS 下面没必要。另外，如果进日志，肯定不要存密码啊。
如果原封进日志，那所有加密都没有意义。因为这个加密过的密码本来就可以从前端登录进去。我只是不知道明文而已。
CDN 商是可以拦截保存，所以不要啥的都经过 CDN

基于上面的分析，还有一种比较稳妥的方式是
前端密码提交的时候，附上 timestamp，用 RSA 公钥加密，服务器私钥解密后验证时间，然后登录一次 timestamp 作废
这样日志泄露或者被拦截，也无法用原密文重放

当然你用 cdn 过密码，还是防止不了第三人攻击的

有意义 特别是有用一些 analytics, logging, performance monitoring 等等 需要上报数据给第三方的服务时

有 https 的情况下，前端进行计算是有价值的。github 就是一个大大的反例，把明文密码写日志里。

但是不要用 hash 算法。有很多专门的密码库可以做

前端 rsa 加密发送到后端，反正我是这么干的

前端密码加密的话，后端就无法校验密码的格式了

前端 rsa 加密 +1

有没有前端加密相关文章啊

@lhx2008 #26
想问下，为啥非对称加密，即使知道了 js 的源码也没有用？
因为知道 js 源码了，应该能把公钥取出，这不就可以自行伪造了吗？

看了下苹果、微软、谷歌、fb 这几个登录页面都是明文传输密码的，百度、淘宝、qq 都是先前端加密，总结一下就是在国外没意义，国内有意义

@FakeLeung 公钥谁都可以知道的，伪造是可以的，关键是你不知道正确的密码，即使半路拦截了密文，没有私钥也无法解开。

@lhx2008 #37
那就是说用来防止中间人获取到实际密码。

@FakeLeung 是的，HTTPS 本身就可以防止第三人监听，但是楼上也说会有一些被服务端明文记到日志，然后日志有可能泄露，这个。。

@lhx2008 #37
RSA 的效率会不会导致接口的性能？安全就意味着性能会差