Ist es für eine Webanwendung möglich, die Anmeldung noch etwas sicherer zu machen, wenn HTTPS aus Sicherheitsgründen nicht verfügbar ist? Z.B.:

Anmeldungen aktivieren, um wiederholte Angriffe zu erschweren?Verschlüsseln Sie irgendwie das gesendete Passwort aus einem HTML-Passwortfeld?

Insbesondere verwende ich CakePHP und einen AJAX POST-Aufruf, um die Authentifizierung auszulösen (einschließlich des angegebenen Benutzernamens und Passworts).

Update zum Problem:

HTTPS ist nicht verfügbar. Zeitraum. Wenn Sie die Situation nicht mögen, betrachten Sie es als eine theoretische Frage.Es gibt keine expliziten Anforderungen, Sie haben alles, was HTTP, PHP und ein Browser (Cookies, JavaScript usw.) im wirklichen Leben bieten (keine magischen RSA-Binärdateien, PGP-Plugins).Die Frage ist, was ist das Beste, was du daraus machen kannstdiese Situation, das ist besser als das Senden der Passwörter Klartext. Die Nachteile jeder dieser Lösungen zu kennen, ist ein Plus.Jede Verbesserung, die besser als einfache Passwörter ist, ist willkommen. Wir streben keine 100% ige l33tG0Dhx0r-proff-Lösung an. Schwierig zu knacken ist besser als kompliziert zu hacken, was besser ist als ein triviales Schnüffeln, das das Passwort preisgibt.