Question Botai Zhang · Nov 20, 2020 http://localhost:57772/csp/sys/UtilHome.csp. User and password authentication Http://localhost:57772/csp/sys/UtilHome.csp,After登录在路径接口中,验证用户和密码的操作在哪里实现?非常感谢你的回答! #Ensemble 00 2 0 4 94
Qiao Peng · Nov 20, 2020 应该弹出一个登录页面,让你输入用户名和密码。你是想跳过这个登录页面,在URL里输入账户信息进入管理门户吗?It should popup a logon window to input user name and password. Are you trying to add user name and password to URL to avoid the logon window? Botai Zhang · Nov 22, 2020 感谢您的回复,情况是这样的,Port页面是一个明文登录,如图,有项目需要过国家等保,需要在客户端登录传递给服务器过程中,增加加密操作,通过密文传递。目前,我们想通过csp加密发送至服务端,服务端解密验证,现在客户端可以实现加密,需要找到服务端解密的的操作块,增加解密的操作,完成这个诉求。 Qiao Peng · Nov 23, 2020 Botai, 我注意到另一个你问的问题,https://community.intersystems.com/post/login-encryption,和这个问题基本一样。如那个问题大家建议的,HTTPS是最佳方式。 Botai, I noticed there is another your similar question, https://community.intersystems.com/post/login-encryption. Just like what was suggested in that loop, HTTPS is the best answer for it. Nicky Zhu · Nov 23, 2020 Hi Botai, 如大家已指出的,Https是实现服务器与客户端通过http访问时通信安全的推荐实现。 当我们采用自己编程实现的客户端加密 - 服务器端解密解决方案时,需要注意和控制以下的若干问题: 1. Base64是一个编码手段而不是加密手段,其编码的结果可以被反向解码。 如果客户需要的是通信被加密,那么需要应用的是DES、RSA等加密算法避免引入信息安全缺陷。 2. 如果采用修改登录页的方式来处理数据的加密和解密,需要对开发结果进行全面的测试,包括非功能测试,避免因开发和部署新的代码引入缺陷 3. 应用Https将对服务器与客户端的所有http请求进行加密,只改登录页的处理逻辑将只能处理登录请求,其他的客户敏感信息,例如REST、SOAP等请求的明文也仍然暴露在网络上,因此并不是个能解决安全性问题的手段
Botai Zhang · Nov 22, 2020 感谢您的回复,情况是这样的,Port页面是一个明文登录,如图,有项目需要过国家等保,需要在客户端登录传递给服务器过程中,增加加密操作,通过密文传递。目前,我们想通过csp加密发送至服务端,服务端解密验证,现在客户端可以实现加密,需要找到服务端解密的的操作块,增加解密的操作,完成这个诉求。 Qiao Peng · Nov 23, 2020 Botai, 我注意到另一个你问的问题,https://community.intersystems.com/post/login-encryption,和这个问题基本一样。如那个问题大家建议的,HTTPS是最佳方式。 Botai, I noticed there is another your similar question, https://community.intersystems.com/post/login-encryption. Just like what was suggested in that loop, HTTPS is the best answer for it. Nicky Zhu · Nov 23, 2020 Hi Botai, 如大家已指出的,Https是实现服务器与客户端通过http访问时通信安全的推荐实现。 当我们采用自己编程实现的客户端加密 - 服务器端解密解决方案时,需要注意和控制以下的若干问题: 1. Base64是一个编码手段而不是加密手段,其编码的结果可以被反向解码。 如果客户需要的是通信被加密,那么需要应用的是DES、RSA等加密算法避免引入信息安全缺陷。 2. 如果采用修改登录页的方式来处理数据的加密和解密,需要对开发结果进行全面的测试,包括非功能测试,避免因开发和部署新的代码引入缺陷 3. 应用Https将对服务器与客户端的所有http请求进行加密,只改登录页的处理逻辑将只能处理登录请求,其他的客户敏感信息,例如REST、SOAP等请求的明文也仍然暴露在网络上,因此并不是个能解决安全性问题的手段
Qiao Peng · Nov 23, 2020 Botai, 我注意到另一个你问的问题,https://community.intersystems.com/post/login-encryption,和这个问题基本一样。如那个问题大家建议的,HTTPS是最佳方式。 Botai, I noticed there is another your similar question, https://community.intersystems.com/post/login-encryption. Just like what was suggested in that loop, HTTPS is the best answer for it. Nicky Zhu · Nov 23, 2020 Hi Botai, 如大家已指出的,Https是实现服务器与客户端通过http访问时通信安全的推荐实现。 当我们采用自己编程实现的客户端加密 - 服务器端解密解决方案时,需要注意和控制以下的若干问题: 1. Base64是一个编码手段而不是加密手段,其编码的结果可以被反向解码。 如果客户需要的是通信被加密,那么需要应用的是DES、RSA等加密算法避免引入信息安全缺陷。 2. 如果采用修改登录页的方式来处理数据的加密和解密,需要对开发结果进行全面的测试,包括非功能测试,避免因开发和部署新的代码引入缺陷 3. 应用Https将对服务器与客户端的所有http请求进行加密,只改登录页的处理逻辑将只能处理登录请求,其他的客户敏感信息,例如REST、SOAP等请求的明文也仍然暴露在网络上,因此并不是个能解决安全性问题的手段
Nicky Zhu · Nov 23, 2020 Hi Botai, 如大家已指出的,Https是实现服务器与客户端通过http访问时通信安全的推荐实现。 当我们采用自己编程实现的客户端加密 - 服务器端解密解决方案时,需要注意和控制以下的若干问题: 1. Base64是一个编码手段而不是加密手段,其编码的结果可以被反向解码。 如果客户需要的是通信被加密,那么需要应用的是DES、RSA等加密算法避免引入信息安全缺陷。 2. 如果采用修改登录页的方式来处理数据的加密和解密,需要对开发结果进行全面的测试,包括非功能测试,避免因开发和部署新的代码引入缺陷 3. 应用Https将对服务器与客户端的所有http请求进行加密,只改登录页的处理逻辑将只能处理登录请求,其他的客户敏感信息,例如REST、SOAP等请求的明文也仍然暴露在网络上,因此并不是个能解决安全性问题的手段
应该弹出一个登录页面,让你输入用户名和密码。你是想跳过这个登录页面,在URL里输入账户信息进入管理门户吗?
It should popup a logon window to input user name and password. Are you trying to add user name and password to URL to avoid the logon window?
感谢您的回复,情况是这样的,Port页面是一个明文登录,如图,有项目需要过国家等保,需要在客户端登录传递给服务器过程中,增加加密操作,通过密文传递。目前,我们想通过csp加密发送至服务端,服务端解密验证,现在客户端可以实现加密,需要找到服务端解密的的操作块,增加解密的操作,完成这个诉求。
Botai, 我注意到另一个你问的问题,https://community.intersystems.com/post/login-encryption,和这个问题基本一样。如那个问题大家建议的,HTTPS是最佳方式。
Botai, I noticed there is another your similar question, https://community.intersystems.com/post/login-encryption. Just like what was suggested in that loop, HTTPS is the best answer for it.
Hi Botai, 如大家已指出的,Https是实现服务器与客户端通过http访问时通信安全的推荐实现。
当我们采用自己编程实现的客户端加密 - 服务器端解密解决方案时,需要注意和控制以下的若干问题:
1. Base64是一个编码手段而不是加密手段,其编码的结果可以被反向解码。 如果客户需要的是通信被加密,那么需要应用的是DES、RSA等加密算法避免引入信息安全缺陷。
2. 如果采用修改登录页的方式来处理数据的加密和解密,需要对开发结果进行全面的测试,包括非功能测试,避免因开发和部署新的代码引入缺陷
3. 应用Https将对服务器与客户端的所有http请求进行加密,只改登录页的处理逻辑将只能处理登录请求,其他的客户敏感信息,例如REST、SOAP等请求的明文也仍然暴露在网络上,因此并不是个能解决安全性问题的手段