我遇到了aSSL,它似乎有几年的历史,想知道是否有人有其他“安全”AJAX 连接代码的示例?显然,这不会像使用 SSL 证书那样安全,但是由于存在 null character SSL 攻击(最近针对 PayPal 进行了演示),对于需要“高度”安全的网站,是否值得重新访问类似 aSSL 的东西比如网上银行等?如果是这样,最好的方法是什么?
【问题讨论】:
标签: javascript ajax security ssl
拥有安全通道的唯一方法是确定对方就是你认为的那个人。这就是 PKI(公钥基础设施)与 SSL 一起发挥作用的地方。如果没有 PKI,就很难获得“信任”,而这正是 CA(认证机构)所卖的。
没有显式 CA 的系统的一个例子是 PGP,但是,问题是很难知道声称拥有公钥 Kx 的人 X 是否实际上不是拥有公钥 Ky 的人 Y。
所以最好坚持使用默认 SSL,而不是使用一些由半专业人士制作的商业/开源软件。
【讨论】:
为避免null character SSL flaw 出现任何问题,网上银行应使用 EV SSL 证书,因为它们不受影响。 aSSL 可能是 EV SSL 证书的一个很好的补充。
【讨论】:
开源 Forge 项目提供了 SSL (TLS) 的 JavaScript 实现,并有一个用于在 ajax 调用中使用它的 XmlHttpRequest 包装器。
【讨论】: