Je me demandais quelles sont les failles de sécurité (le cas échéant) de l'utilisation de GWT avec SSL (en réalité TLS configuré sur le serveur JBoss web-app). J'en ai discuté avec un de mes amis, et il dit que même si j'active le protocole HTTPS, un utilisateur malveillant pourrait intercepter mon fichier .js et changer de code et se faire authentifier sur le serveur. Nous avons supposé qu'en dehors de SSL, nous n'envoyons jamais de mot de passe en clair sur le réseau (nous le hachissons en premier). Est-ce vraiment possible?GWT avec sécurité SSL
L'autre chose que je voudrais savoir est - comment le code Javascript (généré par GWT) déclenche-t-il des appels RPC? Nous avons utilisé Wireshark pour détecter les requêtes et les réponses du client sur le serveur Web SSL, et aucun des packages RPC ne circule. Tout ce que nous voyons sont ces paquets de protocole TLS, nous pouvons facilement les identifier en utilisant un filtre sur les adresses IP source et destination du client et du serveur web.
Je ne sais pas vraiment pourquoi je m'attendais à des paquets RPC.Quand je travaillais avec du vrai RPC Java, je pouvais voir des paquets RPC traversant le réseau, mais cela ne faisait que partie de la charge utile du protocole HTTP. – Zec
Je suis désolé de trier-de relancer ce fil. Mais je cours dans le même problème. Donc, si je veux la sécurité de mon client <-> communication du serveur - alors je dois passer à SSL, non? Mon application affiche un certain nombre de pages. Certains d'entre eux sont accessibles à tous, d'autres uniquement aux utilisateurs connectés (par exemple, la gestion des profils n'est disponible que pour les utilisateurs connectés). Alors, quelle est la meilleure pratique pour le faire? – Igor