【卜維丰】試作不透過伺服器的密碼驗證-MD5 應用

試作不透過伺服器的密碼驗證- MD5 應用

6/1 08'

有時候，伺服器語言對很多人而言太過困難，如果又想有基本的「驗證」功能，過去，可以下載 Password Java Applet，大概沒有伺服器不支持 Java 才對，有時候我在想，那有沒有可能純 Client Side 的驗證呢？

好比這樣：

輸入正確密碼後，會轉到 http://audi.tw/Blog/JavaScript/b.asp 這頁，你可以先點 b.asp 這頁的連結，會自動回到本頁。再試試使用上列表單，密碼為 audi.tw，送出後，就能順利開啟 b.asp。

這些內容，看一下原始碼就知道，所以過去這種作法無法成立，因為可以在原始碼中看到所有內容。如：

function checkPWD(pwd){ if (hex_md5(pwd)=='9670505ec28f497d3ff81371a7947bfe'){ //Set Cookies setCookies('_MD5_Password','MD5'); window.location='b.asp'; }else{ alert('密碼錯誤'); } }

看到了吧！密碼是 9670505ec28f497d3ff81371a7947bfe 不過這是經過 MD5 加密的，MD5 的反譯，目前據我所知，是透過資料庫記錄，並不是有演算法可以反譯，所以，給你看到以 MD5 編過碼的密碼也無所謂，密碼正確連到 b.asp 給你看到也無所謂，因為在轉址前，多加了一個 Cookies 設定，當然，在 b.asp 頁首就一定要檢查這個 Cookies 內容是否吻合。

整個動作，事實上，全攤在陽光下，但已經可以防大大部份的人了，而且也用不到資料庫！

怎麼破解呢？想想看吧，懶得想的人，就上面表單登錄到 b.asp 去看看。

JavaScript MD5

cookies.js

同意轉載，不過麻煩看一下轉載需知

小江 2010/1/28 下午 11:34:00