Безопасная аутентификация без SSL?

Question

Я создаю веб-сервис для конечных пользователей, который будет иметь интерфейс в виде настольного приложения Adobe AIR, но пользователи также смогут получать доступ к своим данным через веб-сайт. Данные пользователя будут синхронизированы между сервером и локальным хранилищем данных. Проблема в том, что я не могу получить сертификат SSL. Есть ли способ сделать это более безопасным ....

Я думаю, что я могу использовать что-то вроде двухногих oAuth или Amazon S3, таких как система аутентификации?
Что вы рекомендуете в такой ситуации?

Answer 1

Первый вопрос: почему вы не можете получить сертификат SSL? Я думаю, по двум причинам:

1. SSL сертификаты являются слишком дорогими
2. Вы не хотите иметь сертификат, выданный третьей стороной

Если ваша проблема # 1, StartSSL обеспечивает бесплатные сертификаты с 1-летним сроком действия или 50 долларов США за неограниченные сертификаты, действительные в течение 2 лет (включая подстановочные знаки). Они распознаются как Mozilla, так и доверительным хранилищем Microsoft.

Если проблема № 2, почему бы не выдавать самозаверяющий сертификат и не использовать его в своем приложении? Это не ставит под угрозу безопасность системы вообще (только ваш конкретный сертификат будет принят приложением), но устраняет необходимость «получить» сертификат SSL из другого места.

Если вы действительно не можете использовать SSL, посмотрите на системы реакции на запрос, такие как Kerberos или анонимные генераторы ключевых материалов, такие как Diffie-Helman (с асимметричным ключом для проверки подлинности сервера). Существует много методов для безопасной двухсторонней аутентификации по небезопасной линии. Ключ состоит в том, что шаг проверки идентификатора должен быть challenge-response вместо схемы «Отправить мне секрет».