Je suis tombé sur aSSL, qui semble avoir deux ans et je me demandais si quelqu'un avait d'autres exemples de code de connexion AJAX "sécurisé"? Évidemment, cela ne serait pas aussi sûr que l'utilisation d'un certificat SSL, mais avec l'attaque null character SSL (récemment démontrée contre PayPal), serait-il utile de revisiter quelque chose comme ASSL pour les sites qui doivent être "hautement" sécurisés comme banque en ligne, etc? Et, si oui, quelle serait la meilleure façon de s'y prendre?Connexion sécurisée AJAX/caractère nul SSL cert attaque?
Répondre
La seule façon d'avoir un canal sécurisé est par sachant avec certitude que l'autre partie est qui vous pensez qu'il est. C'est là que la PKI (Public Key Infrastructure) entre en jeu avec SSL. Sans une PKI, il est très difficile d'avoir de la «confiance» et c'est exactement ce que les autorités de certification (CA) vendent. Un exemple d'un système sans CA explicite est PGP, cependant, le problème est qu'il est difficile de savoir si la personne qui prétend être la personne X ayant la clé publique Kx n'est pas en réalité la personne Y ayant la clé publique Ky Il est donc préférable de s'en tenir au SSL par défaut plutôt que d'utiliser un logiciel commercial/open source fabriqué par des semi-professionnels.
Pour rendre cette réponse explicite: Au début de l'échange, aSSL envoie la clé publique du serveur au client. Cette clé publique est utilisée pour renvoyer une clé symétrique AES générée par le client. Pour éviter l'usurpation, le client doit être en mesure de valider que la clé publique est réellement détenue par le serveur et non par un attaquant. PKI la meilleure solution à ce problème et fonctionne raisonnablement sur le web. Utilisez SSL, même pour les services bancaires en ligne. Il y a beaucoup d'autres problèmes de sécurité (par exemple XSS) auxquels vous devriez accorder plus d'attention. –
Pour éviter tout problème avec le null character SSL flaw, les banques en ligne doivent utiliser un certificat SSL EV car elles ne sont pas affectées. aSSL peut être un bon ajout à un certificat SSL EV.
Le projet Forge opensource fournit une implémentation JavaScript de SSL (TLS) et dispose d'un wrapper XmlHttpRequest pour l'utiliser dans les appels ajax.
- 1. Connexion sécurisée
- 2. linux - Problèmes d'installation SSL cert - Apache2
- 3. connexion ODBC sécurisée - oxymoron?
- 4. idiot question SSL cert pour Windows 2000/ASP/IIS
- 5. Comment puis-je configurer iis avec un cert ssl?
- 6. Comment autoriser une connexion sécurisée sur plusieurs domaines
- 7. Https, Php page de connexion sécurisée?
- 8. L'authentification Windows connexion sécurisée ne fonctionne pas
- 9. ActiveDirectoryMembershipProvider - "Impossible d'établir une connexion sécurisée"
- 10. Pourquoi IIS répond-il à une demande de page sécurisée (SSL) avec un 302 vers sa version non sécurisée?
- 11. Comment associer le cn dans un cert ssl de pyOpenSSL verify_cb à un socket généré
- 12. WebSphere 6.1: impossible de démarrer la console d'administration après l'installation de SSL-cert
- 13. Création d'une connexion client TCP avec SSL
- 14. Informations de connexion sécurisées sans SSL
- 15. Comment faire une connexion sécurisée à pathname dans ruby?
- 16. Comment configurer un certificat de test pour une connexion SSL dans .NET?
- 17. Détournement de session ou attaque?
- 18. Connexion sécurisée à l'aide de FormsAuthentication dans .net webservice, ou est-ce?
- 19. Connexion à Gmail via IMAP avec PHP - Le contexte SSL a échoué
- 20. IIS, XP, SSL vs KeepAlives
- 21. SSL non vérifié dans IE
- 22. Ruby SOAP SSL Woes
- 23. Erreur de communication sécurisée. FTP
- 24. Gestion des connexions SSL et non SSL lors de l'héritage de httplib.HTTP (s) Connexion
- 25. ASP.NET, contrôle de connexion, authentification, https/ssl, chemin de cookie
- 26. Déterminer la connexion SSL derrière un équilibreur de charge
- 27. Comment créer une connexion SSL en PHP avec SO_KEEPALIVE?
- 28. La connexion Delphi 6 et Indy SSL ne fonctionne pas
- 29. Erreur de domaine SSL dans la connexion IPhone- https
Un lien vers le caractère nul attaque SSL pourrait être utile. –