1. Accueil
  2. Question et réponse
  3. Connexion sécurisée AJAX/caractère nul SSL cert attaque?

Connexion sécurisée AJAX/caractère nul SSL cert attaque?

2009-10-07 8 views
2

Je suis tombé sur aSSL, qui semble avoir deux ans et je me demandais si quelqu'un avait d'autres exemples de code de connexion AJAX "sécurisé"? Évidemment, cela ne serait pas aussi sûr que l'utilisation d'un certificat SSL, mais avec l'attaque null character SSL (récemment démontrée contre PayPal), serait-il utile de revisiter quelque chose comme ASSL pour les sites qui doivent être "hautement" sécurisés comme banque en ligne, etc? Et, si oui, quelle serait la meilleure façon de s'y prendre?Connexion sécurisée AJAX/caractère nul SSL cert attaque?

Source

2009-10-07 user21293

+1

Un lien vers le caractère nul attaque SSL pourrait être utile. –

Répondre

1

La seule façon d'avoir un canal sécurisé est par sachant avec certitude que l'autre partie est qui vous pensez qu'il est. C'est là que la PKI (Public Key Infrastructure) entre en jeu avec SSL. Sans une PKI, il est très difficile d'avoir de la «confiance» et c'est exactement ce que les autorités de certification (CA) vendent. Un exemple d'un système sans CA explicite est PGP, cependant, le problème est qu'il est difficile de savoir si la personne qui prétend être la personne X ayant la clé publique Kx n'est pas en réalité la personne Y ayant la clé publique Ky Il est donc préférable de s'en tenir au SSL par défaut plutôt que d'utiliser un logiciel commercial/open source fabriqué par des semi-professionnels.

Source

2009-10-07 22:48:52 Henri

+2

Pour rendre cette réponse explicite: Au début de l'échange, aSSL envoie la clé publique du serveur au client. Cette clé publique est utilisée pour renvoyer une clé symétrique AES générée par le client. Pour éviter l'usurpation, le client doit être en mesure de valider que la clé publique est réellement détenue par le serveur et non par un attaquant. PKI la meilleure solution à ce problème et fonctionne raisonnablement sur le web. Utilisez SSL, même pour les services bancaires en ligne. Il y a beaucoup d'autres problèmes de sécurité (par exemple XSS) auxquels vous devriez accorder plus d'attention. –

1

Pour éviter tout problème avec le null character SSL flaw, les banques en ligne doivent utiliser un certificat SSL EV car elles ne sont pas affectées. aSSL peut être un bon ajout à un certificat SSL EV.

Source

2009-10-08 14:27:45 Robert

Questions connexes

 Questions connexes