“请不要告诉我使用 HTTPS,仅保证客户端 - 服务器应用程序上的数据通信是不够的”
好吧,对不起,但这正是我要做的。SSL 比您使用 JavaScript 所能做的任何事情都要安全得多。使用非 SSL,您将明文发送到客户端/服务器,这意味着如果我可以看到数据包,中间人攻击(例如,您在我的咖啡店,我的无线路由器)并不难。你会如何在 JavaScript 中做更安全的 事情?
您将通过纯文本连接来回发送所有密钥,否定您认为这增加的任何安全性。这就像在您的前门添加一个额外的门栓,它是否使它更安全?不是真的,因为你只是给了我一份密钥的副本:)
SSL 完美吗?不,已经发现了像其他任何东西一样的漏洞。它是否比任何密钥自由可见的加密方式更安全,例如通过未加密连接的 JavaScript?是的。
您提到的jCryption不是 SSL 的替代品,不过您不必相信我,看看它的作者的评论,只需滚动到底部。
的确,它很容易受到 MITM 攻击,但我提到 jCryption 在其当前状态下不提供身份验证方式,并且它不能替代 SSL。jCryption 应该是一个易于安装的插件,它提供了基本的安全级别。
或者,阅读常见问题解答本身:
在我看来,jCryption 更容易安装和配置。虽然我不认为 jCryption 是 SSL 的替代品。它可能是您的联系表格或登录页面的一个很好的补充,以使其更安全。如果您需要最高安全性,则必须使用 SSL,因为 jCryption 不提供身份验证方式。
这可能太少、太晚了;但是,我已将原作者的服务器端 PHP 代码移植到 C#,因此您现在可以在 ASP.NET 应用程序中双向使用 jCryption。我还使用了 OpenSSL.NET,因此您不必像 Daniel Griesser 在他的 PHP 示例代码中那样在单独的进程中运行 OpenSSL。
您可以在此处找到更多信息:http: //blog.arkitekt.ca/post/64884550698/jcryptionnet 而且,此处的 GitHub 存储库:https ://github.com/triniMahn/jCryptionNET