对于Web应用程序，当HTTPS不能用作安全措施时，是否仍可以使登录保持一定的安全性？例如：标记登录名，使重复攻击变得困难？以某种方式从HTML密码字段加密发送的密码？特别是，我使用CakePHP和AJAX POST调用来触发身份验证（包括提供的用户名和密码）。有关问题的更新：HTTPS不可用。期。如果您不喜欢这种情况，请将其视为理论问题。没有明确的要求，您拥有现实生活中提供的任何HTTP，PHP和浏览器（cookie，JavaScript等）（没有魔术RSA二进制文件，PGP插件）。问题是，什么是最好的，您可以解决这种情况，这比发送密码明文更好。知道每种这样的解决方案的缺点是一个加号。任何比普通密码更好的改进都是值得欢迎的。我们的目标不是100％l33tG0Dhx0r-proff解决方案。破解起来比破解复杂要好，这要比泄露密码的琐碎嗅探要好。