3

我有一个使用 SSL 服务的移动网站。我们需要播放一些遗憾的是不能使用 ssl 播放的音频文件 如果我通过 http 为它们提供服务,它们播放得很好 问题是,如果我这样做,我是否会削弱 ssl 提供的安全性?

谢谢

4

3 回答 3

2

如果您有资源,最好的方法是让您的服务器通过 SSL 接收用户的请求,然后动态创建一个常规的 HTTP URL,客户端可以从该 URL 重定向以接收内容。除了通过此链接提供的音频之外,绝对不提供任何其他服务,并且不要交换任何 cookie/令牌/密钥等。此外,如果您使用令牌来跟踪会话,请务必在 cookie 上设置安全标志,以便用户的浏览器不会'除非通过 SSL/HTTPS 连接,否则不传输令牌的内容,否则令牌将在重定向后通过 HTTP 以明文形式发送。实现这一点的技术因平台而异,否则我将提供更具体的说明来实现这一点。但是,它很常见,因此应该很容易找到。

这也可能有助于提高性能,因为通过避免 SSL 加密,您将在服务器端节省大量处理。只要音频不敏感,这就是要走的路。祝你好运!

于 2013-02-21T18:50:07.193 回答
0

认为只要它不能注入脚本就可以了。不过,攻击者仍然可以替换视频,可能是为了利用视频解码器中的漏洞或更普通的网络钓鱼。这也意味着您不保护视频的机密性。

于 2013-02-21T04:48:17.850 回答
0

先问一个问题。您是否尝试在默认浏览器中播放这些音频,或者您有播放它的应用程序?(我的猜测是您是使用浏览器,因为您无法更改客户端)。

如果您提供更多关于您的问题的背景知识,这将很有用。通过这种方式,人们可能会想出各种有趣的解决方法。

此外,您还想检查浏览器将如何处理它。例如,某些浏览器会抱怨此类事情(不安全的内容)。对于某些用户来说,这可能是一个关闭。

我认为 ssl 会在这种情况下幸存下来(你不会削弱它):) 但是,这些音频将是清晰的,并且对所有类型的攻击都是开放的(ssl 可以防止这种攻击)。所以,最关键的问题是你是否在乎。

如果你播放一些简单的音频效果,你可能不会核心。如果您播放一些专有的有声读物,这对您来说可能非常重要。

更新 1

还有一个想法(抱歉,我无法提供经过全面测试的解决方案,因为我在这里超出了我的深度)。

您是否考虑使用脚本(通过安全通道)下载此音频,将其存储在本地存储中(我相信 HTML 5 允许)或将其存储在内存中并从该本地存储中读取。

这样你就可以解决你的问题。

于 2013-02-21T00:01:24.390 回答