jCryption + CRAM - хорошая альтернатива SSL?

Question

Хотелось бы узнать, является ли jCryption + механизм аутентификации ответа на вызов хорошей альтернативой SSL.

Я знаю, что SSL намного лучше, но я делаю проект, в котором владелец не хочет покупать SSL-сертификат, и я хотел бы найти решение, которое обеспечит наилучший из возможных подходов к обеспечению безопасности. без использования SSL.

Есть идеи?

Answer 1

Нет, это не так.

Я могу думать о многих причинах: заголовки HTTP по-прежнему не зашифрованы, обмен ключами уязвим для атак типа "человек посередине", и вы очень доверяете код на стороне клиента.

Просто используйте бесплатный SSL-сертификат от Startcom .

Answer 2

В разделе информации jCryption :

jCryption в его текущем состоянии не является заменой для SSL, потому что нет аутентификации , ноОсновной целью jCryption должен быть очень простой и быстрый в установке плагин, который предлагает базовый уровень безопасности .

Это само за себя.Этот плагин никоим образом не является заменой SSL и не должен быть таким.Цель не в высокотехнологичной безопасности.

Если вы хотите обеспечить безопасность, которой можно доверять любым способом, просто купите SSL-сертификат.Или сделай свой, если хочешь.

Answer 3

Вы можете быть заинтересованы в этой статье:

• Криптография Javascript считается вредной

Answer 4

Вы можете попробовать использовать протокол согласования аутентификации (CAAP) . Я предлагаю для алгоритмов, которые вы используете RSA и Serpent в режиме CTR, к каждому сообщению добавляется код аутентификации HMAC-SHA-512. Это может быть безопасно реализовано с минимальными знаниями. Хотя правильно настроенная система SSL, вероятно, будет еще проще и безопаснее.

Вы всегда можете запустить свой собственный центр сертификации, внутренний для вашей организации, если это не общедоступный сервер. Таким образом, SSL-сертификаты не будут стоить вам руки и ноги.

Answer 5

jCryption намеревается предложить только дополнительную защиту ваших конфиденциальных данных.SSL всегда является вашим основным механизмом шифрования и защиты.

Поскольку большинство веб-сайтов полностью зависят от SSL-сертификата для защиты, разрабатываются новые способы взлома или кражи сертификатов.В случае кражи вашего сертификата вы подвергаетесь нападению человека в середине атаки.И здесь вступает в игру jCryption.Хакер по-прежнему не может иметь осмысленный доступ к вашим конфиденциальным данным, если у вас есть вторичная защита (вроде как двухфакторная аутентификация).

Надеюсь, это поможет.