0
有沒有一種方法可以向訪問者證明網頁服務器上託管的開源服務器端應用程序完全沒有修改(沒有惡意代碼)?該應用程序必須在服務器端,客戶端是不可能的。是否有任何託管提供商確認只有未修改的腳本正在運行?有沒有一種方法可以向訪問者證明服務器端以前做了什麼?
例如確認一個隨機數發生器不存儲它的計算值。
A
回答
0
不,沒有客戶端用戶可以保證服務器是「沒有惡意代碼」。事實上,您可以在沒有網站本身被感染的情況下託管一個網站,同時讓惡意程序在您不知情的情況下在您的服務器上做其他事情。如果您沒有將代碼寫入可執行文件並執行它,則不能保證它不是惡意的。
0
你應該縮小你的問題。首先,就像傑克所說的,服務器可以向其他人(也就是說,發送垃圾郵件)做一些惡意的東西,而不會與訪問者發生任何互動。所以,你可以問的是:「用戶可以確保運行腳本不會對訪問者數據做任何錯誤,或者只要最初的開放源碼腳本不會對它們進行攻擊?」
但這還不夠窄。比如說,腳本從一些高級模式(這是用戶的輸入)生成一些代碼,並且生成是在服務器端完成的。比你不能確定輸出的代碼不是惡意的,除非你之前沒有輸入完全相同的東西,並得到不同的輸出(如果你有相同的輸出,它不會告訴任何事情,因爲惡意代碼可能是僅插入一些輸入)。
可以檢查的是,如果http響應是相同的(相同的html和其他資源作爲響應)。但要做到這一點,必須存儲以前的答案,除非有客戶端應用程序,否則無法以非技術性方式完成。而且,當人們認爲響應是絕對安全的時候,唯一的情況是至少與服務器沒有進一步的交互(ajax調用等)並檢查這不是一項簡單的任務。
所以實際上,你必須添加一個客戶端應用程序,即使在這種情況下,可以有非常罕見的情況下,當它可以絕對確定服務器是好的。畢竟,如果服務器端沒有改變(沒有存儲數據?),創建一個客戶端應用程序是很自然的。
如果您縮小主題,您可能會得到更有幫助的答案:您的服務器端應該做什麼?
相關問題
- 1. 有沒有一種方法可以在SQL中詢問「改變了什麼?」?
- 2. 有沒有一種方法可以通過網絡訪問R?
- 3. 有沒有一種客戶端可以看到$ _SESSION中有什麼的方法?
- 4. 有沒有一種方法可以讓Grails中的控制器訪問函數?
- 5. 有什麼方法可以從WCF Web服務方法訪問Cookie值?
- 6. 有沒有什麼方法可以從Coldfusion內部訪問有關Coldfusion服務器負載的信息?
- 7. 有沒有什麼辦法可以做到這一點有點聰明?
- 8. 有沒有一種方法可以用Javascript進行驗證?
- 9. 有沒有一種方法可以定義一個全局變量,它可以從類方法訪問?
- 10. 有沒有什麼方法可以去除這種水印?
- 11. 有什麼辦法用戶可以禁用c#中的服務器端驗證
- 12. 有沒有什麼辦法可以在調用Web服務方法之前使用xsd進行驗證
- 13. 有沒有什麼方法可以使用前端控制器以編程方式更新數量?
- 14. 有沒有一種方法可以爲{{render}}指定控制器?
- 15. 有沒有一種方法可以調試GLSL着色器?
- 16. 有沒有什麼方法可以保證用戶端的交易
- 17. 有沒有一種方法可以從後端服務器使用Google Play應用內商品?
- 18. 有沒有一種框架或方法可以讓服務器和客戶端輕鬆共享變量?
- 19. 有沒有一種方法可以在構建之前使用TeamCity刪除目標服務器中的目錄?
- 20. Ruby沒有明確的接收者時,什麼類可以獲得方法?
- 21. 沒有什麼可以做的makefile
- 22. 沒有什麼可以做的「Makefile」
- 23. make:沒有什麼可以做的first.pdf
- 24. 你可以用服務器端做什麼包括&htaccess
- 25. 有沒有可以在PHP中檢測訪問者國家的網絡服務?
- 26. 沒有可以訪問服務器類型的封閉實例
- 27. 有什麼服務層可以訪問SQL Server
- 28. 有沒有一種方法可以在服務於Nexus發佈時使用Cargo部署到JBOSS服務器?
- 29. ASP.NET驗證器 - 有沒有一種方法可以在驗證結束時在客戶端調用函數?!
- 30. 有沒有一種方法可以對-find-file文件做一個-script動作?