Возможно ли иметь безопасную спокойную аутентификацию без SSL?

Question

Возможно ли иметь безопасную аутентификацию без использования сеанса, файлов cookie и SSL?

Я посмотрел другие протоколы, такие как SRP и Diffie Helman, но в конце концов вам нужно отправить подтверждение ключа поверхпровод, и это было бы уязвимо для атак "Человек посередине" ...

Answer 1

Пока не установлено какое-либо соединение до соединения (частный обмен ключами, чтобы вы могли зашифровать сообщение и т. Д.), Ничто не может быть защищено без использования SSL через Интернет.

Answer 2

Без некоторой предварительно переданной информации ничто не застраховано от атаки "человек посередине". Вам всегда нужна некоторая предварительная информация, чтобы обезопасить себя от посредника. Если вы просто хотите обезопасить себя от пассивного прослушивания, предварительная информация не нужна.

Основная причина, по которой SSL работает лучше всего, заключается в том, что у вас есть предварительно предоставленная информация о безопасности - сертификаты. Веб-браузеры уже связаны с ним. Например, в Firefox посмотрите Инструменты / Параметры / Дополнительно / Шифрование / Просмотр сертификатов / Полномочия, затем выберите сертификат и нажмите Просмотр.

Конечно, у вас может быть другой криптографический протокол, основанный на предварительной информации, поэтому в принципе это возможно без SSL. Но в современной практике единственной предварительно распространяемой информацией, связанной с веб-браузерами, являются сертификаты SSL.

Answer 3

Только для аутентификации любая криптография на основе открытого ключа может быть альтернативой.Вы можете добавить собственные заголовки HTTP-запроса, включая цифровую подпись и ссылку на сертификат подписавшего.Это был бы совершенно собственный подход, но он может удовлетворить ваши потребности.