Credo di conoscere già la risposta a questo, ma volevo vedere se qualcuno avesse avuto più informazioni su questo problema. Ho eseguito il blocco dei certificati nelle applicazioni Android e iOS per renderli più sicuri contro gli attacchi man in the middle. Sono curioso, può questa stessa cosa essere fatto su un sito web che esegue le chiamate Ajax? Non sto pensando che il codice Javascript possa essere modificato durante il trasporto, qualcuno ha mai avuto esperienza con questo?Il blocco del certificato in Ajax chiama
5
A
risposta
4
Questo potrebbe interessare: http://caniuse.com/#search=HPKP. I browser moderni hanno già il supporto per il blocco della chiave pubblica.
anche grande articolo su come evitare l'uomo negli attacchi centrali (o rendendo più difficile da tirare fuori - come sembra "prevenzione" in un contesto di sicurezza ha un significato relativo): http://blog.scottlogic.com/2016/02/01/man-in-the-middle.html
E se ti senti avventuroso si può andare davvero di basso livello con un'implementazione nativa di TLS in JavaScript: https://github.com/digitalbazaar/forge/blob/master/README.md
Problemi correlati
- 1. Blocco del certificato in Windows 10 Applicazione universale
- 2. Più Ajax chiama portlet liferay
- 3. Reindirizza su Ajax Jquery Chiama
- 4. verificare il certificato del server contro l'autorità certificato auto-firmato
- 5. caricando un knockout.js observableArray() da .ajax() chiama
- 6. Richiesta Ajax - Chiama il metodo diverso su Spring Controller
- 7. Chiama jQuery Ajax Richiedi ogni X minuti
- 8. Chiama a jquery ajax - .fail vs.: errore
- 9. modificare il contenuto del blocco
- 10. window.open senza blocco popup utilizzando AJAX e manipolando il window.location
- 11. Blocco del parser e blocco del rendering
- 12. Connessione SignalR blocco altre richieste ajax
- 13. Come si chiama un servizio web sicuro (SSL) in Android, quando Android non vede il certificato?
- 14. Verifica se il certificato è certificato jolly
- 15. Installa il certificato in Mozilla
- 16. Utilizzo del certificato client non nell'archivio certificati
- 17. Disabilita verifica del certificato in PHP SoapClient
- 18. convalida del certificato SSL ssl in subversion
- 19. In che modo il metodo attende il rilascio del blocco?
- 20. Scelta del certificato client SSL in Java
- 21. Conversione del byte del certificato [] in X509Certificato in Java
- 22. Pinzatura del certificato OCSP in Android
- 23. Conversione del certificato X509Certificate2 in BouncyCastle X509Certificate
- 24. Prelettura del certificato SSL .NET
- 25. Web Errore di servizio 'Impossibile creare il tipo' quando si chiama il servizio da Ajax
- 26. Il blocco del metodo JavaScript WebSocket.send?
- 27. plt.show() che fa il blocco del terminale
- 28. Certificato di firma del codice
- 29. Chiama la macro SAS locale nel blocco RSUBMIT?
- 30. Leggere il certificato in entrata in Tomcat
Questo è stato molto informativo, grazie per i post. Dopo averli letti, ho fatto qualche altro test e ho scoperto che ero giunto a un'altra domanda riguardante gli attacchi MITM. Se avete qualche idea, sarebbe utile, http://stackoverflow.com/questions/36504363/securing-web-server-against-mitm-in-safari – Bobbake4