0
HTTPS广泛用于安全在线。它提供安全性和完整性,但不提供认证。为了确保客户不与中间人交谈,我们有数字证书和PKI。这一切都工作得非常好,除了在以下条件适用的情况:HTTPS密钥协商和使用Javascript通过HTTP进行隧道传输
- 服务器和客户端不共享一个共同的,受信任的根CA,因此,他们无法验证彼此的证书
- 情况下(如。防火墙,权限等),不允许使用常规HTTPS协议的
的问题是:我们仍然可以发送客户端和服务器之间的安全,经过验证的消息,也许使用Javascript?
东西线沿线的:
- 客户定期发送HTTP请求到服务器
- 服务器包含页面的JavaScript代码进行响应
- 客户端的JavaScript异步地将数据发送到用于协商
- 服务器服务器运行某种脚本(例如PHP)来建立隧道
- 客户端和服务器通过加密隧道进行通信
我可以看到它是可以发送以这种方式安全性和完整性的消息,但有可能通过利用这样的事实,该服务器可以动态重写的Javascript发送到未做使用PKI的认证,或许客户端?
这就是问题的关键,我的问题是有一些方法可以利用服务器可以在发送给客户端的文档中嵌入一些秘密这一事实来解决这个问题 – ose
不,没有,如果没有至少一些知识,就不能进行身份验证。 –