1
我想知道如果jCryption +挑戰響應身份驗證機制是SSL的一個很好的選擇。jCryption + CRAM是SSL的一個很好的選擇?
我知道SSL是非常好的,但我正在做一個項目,其所有者不想購買SSL證書,我想找到一個解決方案,以提供最佳的安全方法,可能是無需使用SSL即可獲得。
任何想法?
A
回答
7
不,它不是。
就在我頭頂的時候,我可以想到很多原因:HTTP頭仍未加密,密鑰交換容易受到中間人攻擊,並且您將高度信任在客戶端代碼中。
+0
但傳遞給客戶端的唯一密鑰是公鑰,它在每個POST/GET時都會更改。我忘了說網站應該只支持JS功能。 –
+1
@CristianoSantos:客戶端不可能知道它收到的公鑰是可信的(這實質上是SSL證書的作用)。攻擊者可以更改從服務器發送的公鑰併發送客戶端*他的公鑰 - 一種經典的[MITM](http://en.wikipedia.org/wiki/Man-in-the-middle_attack)攻擊。 – josh3736
+0
嗯,對。我沒有想到......只是爲了完成這個主題,是否有可能知道客戶端收到的公鑰是否可信,而不使用SSL? –
4
在jCryption的信息部分:
jCryption在它的當前狀態沒有更換SSL,因爲沒有認證,但jCryption的主要目標應該是一個很容易和快速安裝插件,其中提供基本級別的安全性。
這是不言而喻的。這個插件不是以任何方式取代SSL,也不是。目標不是高科技安全。
如果您想要以任何方式信任的安全性,只需購買SSL證書即可。或者如果你願意,你可以自己製作。
+0
我看到了。這就是爲什麼我的問題將CRAM與jCryption結合在一起。如果POST/GET數據僅使用一次公鑰/私鑰進行加密,並且登錄會話的密碼由於CRAM而仍然被加密,那麼在安全風險方面它有多糟糕? –
2
你可能有興趣在這篇文章中:
1
您可以嘗試使用Challenging Authentication-Agreement Protocol (CAAP)。我建議您在CTR模式下使用RSA和Serpent算法,並在每條消息中附加一個HMAC-SHA-512認證碼。這可以用最少的知識來安全地實施。雖然一個很好配置的SSL系統可能會更容易和更安全。
如果這不是面向公衆的服務器,您可以隨時在自己的組織內部啓動自己的證書頒發機構。這樣SSL證書不會讓你成爲胳膊和腿。
相關問題
- 1. 這是一個很好的選擇器或不是
- 2. Java中LTRIM和RTRIM的一個很好的選擇是什麼?
- 3. 是Python和Hadoop的一個很好的選擇嗎?
- 4. 這是一個很好的設計選擇?
- 5. 多維數組是一個很好的選擇嗎?
- 6. 自動更新軟件; FTP是一個很好的選擇?
- 7. 什麼是獨特+一個很好的選擇在貓鼬
- 8. Spring webflow是一個很好的portlet技術選擇嗎?
- 9. Boost.Program_options是一個很好的C選擇嗎?
- 10. ASP:DataGrid控件會是一個很好的選擇嗎?
- 11. Blackberry WebWorks是一個很好的開發選擇嗎?
- 12. 這是一個很好的asp.net網站架構選擇?
- 13. .NET支持SSL的一個很好的XMPP庫是什麼?
- 14. 哪一個是最好的選擇?
- 15. 什麼將是一個很好的選擇,在gephi網絡圖的佈局
- 16. VS 2010用於創建C++程序的一個很好的選擇是什麼?
- 17. 創建一個很好的代碼級別選擇屏幕
- 18. 有沒有一個很好的選擇javax.imageio那裏?
- 19. 一個很好的選擇查詢,包括計數
- 20. 是CouchDB的一個很好的契合?
- 21. 問題很好的形式選擇
- 22. 安裝Shield有很好的選擇嗎?
- 23. Windows窗體應用程序仍然是一個很好的選擇?
- 24. Perl對於重度文本處理來說是一個很好的選擇嗎?
- 25. 將類作爲擴展創建是一個很好的選擇嗎?
- 26. 是否有一個很好的Flex(3)日期/時間選擇器組件?
- 27. 什麼是一個很好的jQuery timePicker?
- 28. 這是一個很好的習慣嗎?
- 29. 這是一個很好的實現gameloop
- 30. 這是一個很好的IF塊嗎?
使用ssl,用您自己的證書運送產品。 – rook