У меня есть мобильный сайт, обслуживаемый SSL. Нам нужно воспроизвести некоторые аудиофайлы, которые, к сожалению, не играют с ssl Если я обслуживаю их через http, они играют просто отлично Дело в том, если я пойду таким образом, могу ли я вредить безопасности ssl?Смешивание безопасного и ненадежного контента в мобильном веб-приложении
Thanks
Вопрос сначала. Вы пытаетесь воспроизвести эти аудио в браузере по умолчанию или у вас есть приложение, которое воспроизводит его? (Я предполагаю, что вы используете браузер, поскольку вы не можете изменить клиентскую сторону).
Было бы полезно, если вы дадите немного больше информации о своей проблеме. Таким образом, люди могут придумать всевозможные обходные пути.
Кроме того, вы хотите проверить, как браузер будет обрабатывать его. Например, некоторые браузеры жалуются на такие вещи (небезопасный контент). Это может быть отключением для некоторых пользователей.
Я думаю, что ssl выдержит это (вы не наносите ему вред) :) Тем не менее, этот звук будет прозрачным и открытым для всех видов атак (которые ssl предотвращает). Итак, самый важный вопрос: заботитесь ли вы.
Если вы играете какой-то простой аудиоэффект, вы можете не быть ядром. Если вы играете в проприетарные аудиокниги, это может быть очень важно для вас.
Update 1
еще одна идеи (к сожалению, я не в состоянии обеспечить полностью протестированное решение, потому что я из моей глубины здесь).
Считаете ли вы загрузку этого звука с помощью скрипта (через защищенный канал), хранения его в локальном хранилище (я считаю, что HTML 5 разрешает его) или sotring его в памяти и простое из этого локального хранилища.
Таким образом, вы можете решить вашу проблему.
I думаю это в основном нормально, если он не может вводить скрипты. Злоумышленник все же мог заменить видео, хотя, возможно, использовать дыру в видеодекодере или для более мирского фишинга. Это также означает, что вы не защищаете конфиденциальность видео.
Если у вас есть ресурсы, лучший способ сделать это - заставить ваш сервер получать запрос от пользователя через SSL, а затем динамически создавать обычный URL-адрес HTTP, из которого клиент может быть перенаправлен для получения контента. Подавайте абсолютно ничего, кроме звука через эту ссылку, и не обменивайтесь куки-файлы/маркеры и т. Д. Кроме того, если вы используете токены для отслеживания сеанса, обязательно установите безопасный флаг в файле cookie, чтобы браузер пользователя не выполнял Не передавайте содержимое токена, если вы не подключаетесь через SSL/HTTPS, иначе токен будет отправлен в текстовом виде через HTTP после перенаправления. Методы достижения этого варьируются от платформы к платформе, иначе я бы предоставил более конкретные инструкции для этого. Однако это довольно часто, поэтому его легко найти.
Это также может помочь вашей работе, поскольку вы сэкономите много обработки на стороне сервера, избегая шифрования SSL. Пока звук не чувствителен, это путь. Удачи!
Hi. В приложении нет приложения. На самом деле это мобильный сайт, и средства массовой информации никоим образом не чувствительны. Обычный фоновый звук. – Thomas
@Thomas: Посмотрите обновление 1 в своем ответе –