有什么方法可以防止或检测通过普通 HTTP 的中间人攻击?
我想在客户端机器上运行一个javascript小程序,确信代码没有被修改。是否有任何巧妙的技巧来签署代码或安全地交付代码,而无需采用通常的 HTTPS 和证书路线?
问问题
1330 次
4 回答
9
不,不是。当你让它安全时,你将不得不重新发明至少 90% 的 HTTPS(或者非常类似的东西,无论如何)——但可能做得很差。无意侮辱,但很少有人能够充分设计出这样的东西。通常是由专家(或其中一些人)尽可能地设计它,并且仍然计划在未来几年内至少解决一些问题,因为更多的密码分析家会关注它。非专业人士第一次做对的机会与赢得大乐透并在同一时刻被闪电击中的机会一样高。
于 2012-03-23T04:40:25.320 回答
1
我相信,以一种或另一种形式,将涉及公钥密码学。您可能自己实现它,但它可能不安全且困难。为什么不想使用 HTTPS?它为此目的而存在。
于 2012-03-23T04:40:58.100 回答
0
如果是 javascript,那么无论您是否使用 SSL,您甚至都无法确认客户端计算机上的人没有修改您的 applet。
于 2012-03-23T04:59:01.523 回答
-1
如果他们可以修改 javascript,那么他们可以删除您输入的任何校验和或类似内容。您最好的选择是使用 javascript 混淆器/最小化器,因为这会使更改并仍然运行变得非常困难。我相信雅虎有一个很好的,谷歌也有。
这不是万无一失的,但它可能会淘汰几乎所有考虑篡改您的小程序的人。前往 maps.google.com 并查看他们的 javascript。考虑偷偷地修改一些关于它的东西。应该不会发生吧
编辑:毕竟这可能不是那么好,请参阅下面的链接
于 2012-03-23T04:51:26.127 回答