Меры предосторожности при отправке данных для входа в AJAX

Question

Я нахожусь в процессе написания формы входа / регистрации для моего веб-сайта MVC и столкнулся с проблемой безопасности и AJAX.Кажется, что все больше и больше популярных сайтов используют javascript для обработки входов в систему, и многие из них не с URL-адреса https (www.giantbomb.com и www.gametrailers.com, чтобы назвать два).Мне интересно, есть ли способ для меня сделать что-то подобное, но также использовать SSL.

Я читал в других сообщениях, что это возможно, если JavaScript был выполнен с защищенной страницы, но еслиэто не вариант, тогда как мне сделать транзакцию максимально безопасной?

Спасибо за ваше время!

Answer 1

Я думаю, мне просто нужно было немного мотивации или что-то в этом роде.Вот некоторые материалы, которые вам могут пригодиться:

http://shop -js.sourceforge.net / crypto2.htm

http://www.hanewin.net/encrypt/

Answer 2

Боюсь, но у меня нет на самом деле положительного ответа для вас.НЕ полагайтесь на JS вообще для безопасности.Для злоумышленника банально заменить ваш «JS безопасности» на вредоносный, если вы отправляете «JS безопасности» по обычному HTTP-сообщению.Вредоносный JS может опубликовать учетные данные пользователя для злоумышленника, а затем внедрить ваш «security JS» обратно в браузер пользователя.Конечный пользователь и ваш веб-сервис / приложение никогда не узнают, что кто-то захватил учетные данные пользователя.Под «безопасностью JS» я подразумеваю любую реализацию JS - будь то асимметричная или симметричная.

Answer 3

Я бы порекомендовал против этого, потому что, даже если вы сделаете это безопасным, он будет выглядеть для пользователя, как будто это не так. Пользователи обучены искать замок в веб-браузере, и если его там нет, не верьте ему.

(Я уверен, что кто-то укажет, что я переоцениваю уровень образования пользователей, и да, не все пользователи знают это, но многие знают.)

Answer 4

Этот вопрос был рассмотрен ранее в StackOverflow. Посмотрите здесь для одного примера.

Большая проблема с подходом без SSL - человек в середине атаки . Нельзя обойти это.

Answer 5

Как упоминает Джордж Мариан, вы можете использовать шифрование с открытым ключом на основе JS.Есть несколько реализаций доступных .Но вы должны знать, что это не замена SSL.Основная сложность заключается в распространении открытого ключа безопасным способом.Вы можете улучшить безопасность в отношении пассивного прослушивания, но если вы не можете безопасно передать ключ, активные атаки MITM (человек в середине) все еще возможны.

Также следует помнить, что JavaScript должен быть включенчтобы это работало, поэтому вам потребуется резервный текст.

Если вам нужно обеспечить безопасность, используйте SSL.