有没有办法防止或检测普通HTTP上的中间人攻击?
我想在客户端计算机上运行一个javascript applet,确信代码未被修改。是否有任何聪明的技巧来签署代码或安全地交付它而不需要通常的HTTPS和证书路径?
答案 0 :(得分:8)
不,不是真的。当你保证安全时,你不得不重新发明至少90%的HTTPS(或者非常类似的东西),但可能做得不好。没有任何侮辱,但非常很少有人能够充分地设计这样的东西。通常是由专家(或其中一些人)尽可能地设计它,并且仍计划在未来几年内解决至少一些问题,因为更多的密码分析师会对此进行研究。一个非专业人士第一次做对的机会就在那里,那些赢得大量彩票并在同一时刻被闪电击中的人。
答案 1 :(得分:1)
我相信,在某种形式的情况下,公共密钥加密将会涉及到。你可以自己实现它,但它可能是不安全和困难的。为什么不想使用HTTPS?它存在于此目的。
答案 2 :(得分:0)
如果是javascript,那么您甚至无法确认客户端计算机上的人是否未修改您的applet,无论您是否使用SSL。
答案 3 :(得分:-1)
如果他们可以修改javascript,那么他们可以删除你输入的任何校验和或类似。你最好的选择是使用一个javascript混淆器/最小化器,因为这将使它变得困难,因为所有地狱改变仍然运行。雅虎有一个我认为好的,就像谷歌一样。
这不是万无一失的,但几乎每个人都在考虑篡改你的小程序。转到maps.google.com并查看他们的javascript。考虑偷偷摸摸地修改它的一些东西。可能不会发生。
编辑:毕竟这可能不太好,请参阅下面的链接