0

SRP-6プロトコルを使用してサーバーへの認証を可能にするJavaScriptライブラリを構築しています。

XSSのため、認証方法としてjavascriptを使用するのは最善の選択肢ではないことを私は知っています。しかし、適切なXSS予防は、ほとんどの問題を取り除くことができます。

私の唯一の懸念は、ユーザーがリクエストを受け取る前にサーバーの応答を変更するのがどれほど簡単かということです。

サンプルシナリオ:

ユーザーリクエストページ:http://serverdomain/home

サーバー:次のように返信します:

<html>
   <head>Home</head>
   <script type="text/javascript" src="auth.js"></script>
   <body>Home</body>
</html>

ユーザーが返信を受け取る前。ハッカーはどういうわけか魔法のように返信を変更できますか

<html>
   <head>Home</head>
   <script type="text/javascript" src="hacker_auth.js"></script>
   <body>Home</body>
</html>

これは可能ですか?これは、JavaScriptを使用して認証するときに考えられる脆弱性の1つです。

4

2 に答える 2

1

Badaboooooomはそれを釘付けにしました:http://en.wikipedia.org/wiki/Man-in-the-middle_attack http://www.thoughtcrime.org/software/sslstrip/ などのツールを使用して、リスクを軽減するためにhttpsを使用できます。ユーザーが「ロック」が解除されたことに気付かない場合でも、攻撃を可能にします。

于 2012-12-31T22:16:36.377 に答える
1

HTTPSのような安全なプロトコルを使用してこれを回避できますが、すべてが何らかの方法でハッキングされる可能性がありますが、一部は他よりも簡単に壊れます。

于 2012-12-31T22:01:09.953 に答える