Безопасное соединение AJAX / атака SSL-сертификата с нулевым символом?

Question

Я сталкивался с aSSL , которому, по-видимому, пару лет, и мне было интересно, есть ли у кого-нибудь другие примеры "безопасного" кода подключения AJAX? Очевидно, что это будет не так безопасно, как использование SSL-сертификата, но с атакой SSL с нулевым символом (недавно продемонстрированной против PayPal) стоило бы вернуться к чему-то вроде aSSL для сайтов, которым требуется быть "очень" безопасным, например, онлайн-банкинг и т. д.? И, если это так, что будет лучшим способом для этого?

Answer 1

Чтобы избежать каких-либо проблем с недостатком SSL с нулевым символом , онлайн-банкам следует использовать сертификат SSL SSL EV, поскольку они не затронуты. ASSL может быть хорошим дополнением к сертификату EV SSL.

Answer 2

Проект Forge с открытым исходным кодом предоставляет реализацию SSL (TLS) в JavaScript и имеет оболочку XmlHttpRequest для использования в вызовах ajax.

http://github.com/digitalbazaar/forge

Answer 3

Единственный способ иметь безопасный канал - это точно знать , что другая сторона - это та, кем вы себя считаете. Именно здесь PKI (Инфраструктура открытых ключей) вступает в игру с SSL. Без PKI очень трудно иметь «доверие», и это именно то, что продают CA (центры сертификации).

Примером системы без явного CA является PGP, однако проблема заключается в том, что трудно понять, не является ли человек, который претендует на то, чтобы быть лицом X, имеющим открытый ключ Kx, на самом деле не человек Y, имеющий открытый ключ Ky.

Так что лучше придерживаться SSL по умолчанию, а не использовать какое-либо коммерческое программное обеспечение с открытым исходным кодом, созданное полупрофессионалами.