Я считаю, что уже знаю ответ на этот вопрос, но я хотел узнать, есть ли у кого-нибудь более глубокое понимание этой проблемы. Я закрепил сертификаты в приложениях для Android и iOS, чтобы сделать их более защищенными от атак «человек посередине». Мне любопытно, можно ли сделать то же самое на веб-сайте, который выполняет вызовы Ajax? Я думаю, что нет, так как код Javascript может быть изменен во время транспортировки, есть ли у кого-нибудь опыт в этом?
Закрепление сертификата в вызовах Ajax
Ответы (1)
Вам может быть интересно: http://caniuse.com/#search=HPKP . Современные браузеры уже поддерживают привязку открытого ключа.
Также отличная статья о предотвращении атак «человек посередине» (или о том, что их сложнее осуществить — поскольку кажется, что «предотвращение» в контексте безопасности имеет относительное значение): http://blog.scottlogic.com/2016/02/01/man-in-the-middle.html
И если вы чувствуете себя авантюрно, вы можете пойти на очень низкий уровень с собственной реализацией TLS в JavaScript: https://github.com/digitalbazaar/forge/blob/master/README.md
person
bug-a-lot
schedule
01.04.2016
Это было очень информативно, спасибо за посты. Прочитав их, я провел еще несколько тестов и обнаружил, что пришел к другому вопросу, касающемуся MITM-атак. Если у вас есть какое-либо представление, это было бы полезно, stackoverflow.com/questions/36504363/
- person Bobbake4; 08.04.2016
Похоже, что HPKP устарел, а затем удален из Chrome. Вы можете рассмотреть developer.mozilla.org/en-US /docs/Web/HTTP/Headers/Expect-CT, по предложению Chrome в качестве замены.
- person Peter; 26.04.2019