50,528
社区成员
发帖
与我相关
我的任务
分享数字签名,用GET/URL的方式传递 安全吗?
A<-->B是合作双方。B是个支付平台。A的网站采用B作为支付平台。A的网站的商品详情页面中添加了相关的代码,买家点击“购买”以实现支付。A网页代码中肯定包括了:
(1) POST方式:
<form name="frm" method="post" action="https://www.99bill.com/webapp/receiveMerchantInfoAction.do" >
<input type=HIDDEN name="merchant_id" value="<%=merchant_id%>">
<input type=HIDDEN name="orderid" value="<%=orderid%>">
<input type=HIDDEN name="amount" value="<%=amount%>">
<input type=HIDDEN name="commodity_info" value="<%=commodity_info%>">
<input type=HIDDEN name="merchant_url" value="<%=merchant_url%>">
<input type=HIDDEN name="merchant_param" value="<%=merchant_param%>">
<input type=HIDDEN name="pname" value="<%=pname%>">
<input type=HIDDEN name="currency" value="<%=currency%>">
<input type=HIDDEN name="isSupportDES" value="2">
<input type=HIDDEN name="mac" value="<%=mac%>"> //mac是对参数串进行私钥加密取得值
...等等信息
或(2)GET方式。
对于第二点我有些疑问,如果其他人自己搞了一个网站C,也是直接传了一串参数。
那么B如何判断C是友好的? 多谢。
(1) POST方式:
<form name="frm" method="post" action="https://www.99bill.com/webapp/receiveMerchantInfoAction.do" >
<input type=HIDDEN name="merchant_id" value="<%=merchant_id%>">
<input type=HIDDEN name="orderid" value="<%=orderid%>">
<input type=HIDDEN name="amount" value="<%=amount%>">
<input type=HIDDEN name="commodity_info" value="<%=commodity_info%>">
<input type=HIDDEN name="merchant_url" value="<%=merchant_url%>">
<input type=HIDDEN name="merchant_param" value="<%=merchant_param%>">
<input type=HIDDEN name="pname" value="<%=pname%>">
<input type=HIDDEN name="currency" value="<%=currency%>">
<input type=HIDDEN name="isSupportDES" value="2">
<input type=HIDDEN name="mac" value="<%=mac%>"> //mac是对参数串进行私钥加密取得值
...等等信息
或(2)GET方式。
对于第二点我有些疑问,如果其他人自己搞了一个网站C,也是直接传了一串参数。
那么B如何判断C是友好的? 多谢。
...全文
请发表友善的回复…
发表回复
computersim 2005-06-16
- 打赏
- 举报
<input type=HIDDEN name="mac" value="<%=mac%>"> //mac是对参数串进行私钥加密取得值
有这一行不用太担心,签名本来就是公开的,为什么要加密?
有这一行不用太担心,签名本来就是公开的,为什么要加密?
cswei1021 2005-04-28
- 打赏
- 举报
加密+数字签名
cathy97 2005-04-27
- 打赏
- 举报
不安全,lubberland说的很对!
lubberland 2005-04-27
- 打赏
- 举报
都不安全,正确的做法是,用b的证书加密信息,发送给b,即使c得到,也无法看到。
签名信息,(采用了安全技术),但其目的和信息安全无关,和身份认证,完整性有关。
签名信息,(采用了安全技术),但其目的和信息安全无关,和身份认证,完整性有关。
vitamines 2005-03-11
- 打赏
- 举报
无论post还是get都属于明文传送,都可以简单的伪造数据
建议楼主讲数据加密后传递
比如merchant_id
先在客户端加密,然后将未加密的明文和加密的暗文一起传送
在服务端将传来的明文加密后与传来的密文比对
如果不一致就丢弃
一致就处理
建议楼主讲数据加密后传递
比如merchant_id
先在客户端加密,然后将未加密的明文和加密的暗文一起传送
在服务端将传来的明文加密后与传来的密文比对
如果不一致就丢弃
一致就处理
