Wierzę, że znam już odpowiedź na to pytanie, ale chciałem sprawdzić, czy ktoś ma lepszy wgląd w ten problem. Wykonałem przypinanie certyfikatów w aplikacjach na Androida i iOS, aby zwiększyć ich bezpieczeństwo w ataku środkowym. Ciekaw jestem, czy to samo można zrobić na stronie internetowej, która wykonuje połączenia Ajax? Nie sądzę, że kod JavaScript mógł zostać zmodyfikowany podczas transportu, czy ktokolwiek miał z tym jakieś doświadczenie?Świadectwo przypinania w wywołaniach Ajax
5
A
Odpowiedz
4
Być może zainteresuje Cię to: http://caniuse.com/#search=HPKP. Nowoczesne przeglądarki już obsługują przypinanie klawiszy publicznych.
Również wielki artykuł o zapobieganiu man in the middle ataki (lub ich podejmowania trudniej zdjąć - jak się wydaje „zapobieganie” w kontekście zabezpieczeń ma względną znaczenia): http://blog.scottlogic.com/2016/02/01/man-in-the-middle.html
A jeśli czujesz Przygód można przejść na naprawdę niski poziom z natywną implementacją TLS w JavaScript: https://github.com/digitalbazaar/forge/blob/master/README.md
Powiązane problemy
- 1. Niepoprawny URL ASP.NET MVC w wywołaniach ajax
- 2. InnoSetup - Świadectwo podpisania kodu
- 3. Czy istnieje jakikolwiek sygnał analogowy do "w końcu" w wywołaniach jQuery AJAX?
- 4. Windows 8 przygotuj witrynę do przypinania
- 5. Jak zaimplementować ochronę CSRF w wywołaniach Ajax za pomocą express.js (szukając pełnego przykładu)?
- 6. Do czego służą wywołaniaInjectionMembers w wywołaniach RegisterType()?
- 7. Propagowanie parametru QueryString w wywołaniach RedirectToAction
- 8. Otrzymuj powiadomienia o wywołaniach metod w .NET
- 9. Jak wymusić GHC na wywoływanych wywołaniach FFI?
- 10. W jaki sposób można uzyskać plik express.js, aby przechwytywać i zgłaszać wyjątki środowiska wykonawczego w wywołaniach AJAX
- 11. Serializacja Json.NET przed i po wywołaniach
- 12. Czy można Uncomrustify wyrównać dwukropki w wywołaniach metody Object-C?
- 13. Wejście do trybu pełnoekranowego w wywołaniach MPMoviePlayerController viewWillDisappear i viewDidDisappear
- 14. Najlepszy sposób na zapobieganie wyścigowi w wielu wywołaniach API chrome.storage?
- 15. Zatrzymaj sesję w kolejnych wywołaniach Java do fakeRequest Play 2.0
- 16. Co oznaczają trzy kropki "./..." w wywołaniach wiersza poleceń Go?
- 17. wiersz polecenia SVN w Jenkins nie ze względu na świadectwo niedopasowania serwerze
- 18. Mockito inne zachowanie przy kolejnych wywołaniach metody void?
- 19. Skrót App bez przypinania do ekranu startowego w Windows 8 za pomocą C++
- 20. Kilka portletów lifestyowych Ajax nazywa się
- 21. Kometa, Ajax Push, Reverse Ajax
- 22. Złóż żądanie AJAX za pomocą $ .ajax w MVC 4
- 23. Conda aktualizacja nie powiodła się: Błąd SSL: [SSL: CERTIFICATE_VERIFY_FAILED] Świadectwo sprawdzenia udało
- 24. (Wicket) Zmień widoczność podczas odpowiedzi ajax ajax
- 25. AJAX/Reverse AJAX: Polling or Push?
- 26. Czy istnieje skrót klawiszowy do przypinania/automatycznego ukrywania panelu takiego jak Eksplorator rozwiązań?
- 27. Wiele żądań AJAX w jQuery
- 28. Bezpieczeństwo ajax w grach javascript
- 29. Zbierz wyniki AJAX w kolejności
- 30. Ajax i Jquery w Symfony
To było bardzo pouczające, dzięki za posty. Po przeczytaniu ich przepuściłem jeszcze kilka testów i odkryłem, że przyszedłem do innego pytania na temat ataków MITM. Jeśli masz jakiś wgląd, byłoby to pomocne, http://stackoverflow.com/questions/36504363/securing-web-server-against-mitm-in-safari – Bobbake4