1. Zuhause
  2. Frage und Antwort
  3. Wenn eine HTTP-Webseite eine Ajax-Anfrage an eine HTTPS-URL stellt, ist die Post-Sicherheit?

Wenn eine HTTP-Webseite eine Ajax-Anfrage an eine HTTPS-URL stellt, ist die Post-Sicherheit?

2010-12-03 8 views
4

Wenn ich ein html/jquery widget erstellt habe, das auf Webseiten von Drittanbietern platziert werden sollte (wo Benutzer extrem wenig technisches Wissen haben und wahrscheinlich kein SSL-Zertifikat haben) und jquery zu AJAX verwendet, die Informationen des Widgets an eine sichere URL die Informationen gepostet würden korrekt gesichert werden?Wenn eine HTTP-Webseite eine Ajax-Anfrage an eine HTTPS-URL stellt, ist die Post-Sicherheit?

Edit: Kann jemand auf die gleiche Ursprungspolitik/-impfungen ausarbeiten, eine Seite zu haben, die kein SSL-Zertifikat in Bezug darauf hat?

Quelle

2010-12-03 Chris Marisic

Antwort

3

Die Daten würden während der Übertragung sicher sein, aber die Seite, die die Anfrage stellt, könnte abgefangen und modifiziert werden, bevor sie den Client erreicht, so dass die Anfrage umgeleitet oder modifiziert werden könnte. (Einfacher Fall - zwei Anfragen statt einer, eine an den sicheren Server und eine an einen Hacker-Server)

Wenn Sie Sicherheit wollen, dann müssen sowohl die Seite, die die Datenerfassung/-einreichung durchführt als auch die Seite die Daten verarbeiten über SSL weitergeleitet.

(Sie würden auch mit der Frage der Same Origin Policy zu tun haben.)

Quelle

2010-12-03 16:19:30 Quentin

1

Ja, es wird HTTPS für die Anforderung Ajax verwenden.

Sie können jedoch keine Offsite-Anfrage stellen (Richtlinie mit gleichem Ursprung), und wenn Ihrem Client ein korrektes SSL-Zertifikat fehlt, sehe ich nicht, wie Sie eine sichere AJAX-Anfrage (?) Machen würden.

Quelle

2010-12-03 16:20:15 Tomalak

1

Das hängt von der Definition ab, die Sie für "Secure" verwenden möchten. Sicherheit ist subjektiv und manche Menschen haben eine "breitere" Definition von "sicher" als andere.

Wenn Sie von "Secure" gefragt werden, ob ein Sniffer Ihre Post über das Netzwerk erhalten kann, dann wäre die Verwendung von https in dieser Hinsicht sicher.

Wenn die Seite jedoch diesen Post an Ihren Server sendet, um irgendetwas zu tun, was der Benutzer nicht tun möchte, dann ist es nach meiner Definition nicht sicher.

Zum Beispiel würde ich mit diesem Skript in Ordnung sein, das Ihren Dienst aufruft, wenn Ihr Dienst Daten zurück zur Seite lieferte (für einen legitimen Zweck mit anderen Worten). Ein gutes Beispiel wäre, wenn Sie Ihre Website anrufen, um einen Aktienkurs oder einen Witz des Tages, der auf der Seite erscheint, zur Verfügung zu stellen.

ABER wenn Ihr Skript einen Beitrag machte, um meine Anwesenheit auf der Website zu verfolgen, fügen Sie mich zu einer potenziellen Mailingliste hinzu, stehlen meine Daten oder einen anderen Zweck als für meine Arbeit auf Ihrer Website Sie verletzen meine Privatsphäre oder machen zumindest etwas hinter den Kulissen, das ich nicht vorhersehe oder möchte. In diesem Fall ist per definitionem jede Aktivität, die Stealth nutzt, um mich zu verfolgen oder meine persönlichen und/oder finanziellen Daten zu stehlen (einschließlich meiner Surfgewohnheiten), ein Sicherheitsverstoß.

Auch, wenn Ihr Skript in irgendeiner Weise bestehende Abwehrmechanismen auf der Webseite schwächt oder neue Sicherheitslücken einführt, dann ist es nach keiner Definition sicher.

Quelle

2010-12-03 16:25:00 David

Verwandte Themen

 Verwandte Themen