AJAX Security Norm

Question

Существует ли норма безопасности AJAX?

При создании запроса XMLHttpRequest, при запросе URL-адреса HTTPS, браузер будет обрабатывать все операции с сертификатами и правильно шифровать запрос (или использовать уже существующий аутентифицированный туннель)? Есть ли в этой модели недостатки безопасности?

Тогда есть также проблемы с аутентификацией пользователя в AJAX. Это заставило меня подумать, что использование пароля пользователя для шифрования части или всего запроса AJAX может решить некоторые проблемы с аутентификацией. Я видел некоторые впечатляющие инструменты шифрования на основе JavaScript. Похоже, что существует огромный потенциал для создания единой системы, которая заботится как о шифровании, так и об аутентификации (на уровне хоста и уровне пользователя приложения). Я, однако, не видел ничего, что кажется «попробованным правдой».

Мой вопрос можно сформулировать так:

Существует ли норма для безопасного AJAX? используя технологии браузера или клиента боковой JavaScript? Какие это? А если нет, что мешает нам от создания одного с использованием JavaScript?

Спасибо, как всегда.

Answer 1

SSL через HTTPS является своего рода совместным предприятием с сервером назначения. Сервер назначения сообщит о своей личности с помощью своего удостоверения личности (отправленного обратно клиенту). Это часть протокола, который будет шифровать поток данных между клиентом и сервером.

Тем не менее, это просто шифрует поток, но ничего не делает с некоторыми другими проблемами безопасности. Идентификация и аутентификация объекта пользователя, делающего запрос, обрабатываются другими средствами. Если вы шифруете поток с помощью SSL, то безопаснее использовать базовую аутентификацию HTTP. После этого ответом на аутентификацию должен быть идентификатор сеанса, отправляемый обратно клиенту, который будет передавать его на все последующие запросы. Серверы приложений обычно управляют созданием этих идентификаторов сеансов.

Answer 2

Обычная аутентификация имеет смысл. Я нашел эту статью, объясняющую, как это сделать.

У меня почему-то все еще есть желание не использовать все технологии браузера и самостоятельно шифровать / аутентифицировать вещи. Не уверен, что в этом есть смысл. Кэширование ключей будет трудно осуществить.

Я все еще ищу, чтобы выяснить, является ли это (SSL + использование базовой аутентификации в вызовах ajax) нормой.

Answer 3

Ajax по своей сути не вводит новые уязвимости в области безопасности веб-приложений. Вместо этого приложения сталкиваются с одинаковой безопасностью проблемы как классические веб-приложения. К сожалению, обычный Ajax лучший практики не были разработаны, что оставляет много места, чтобы получить все не так.

от: http://www.securityfocus.com/infocus/1868