HTTPS は、オンラインのセキュリティに広く使用されています。セキュリティと整合性を提供しますが、認証は提供しません。クライアントが中間者と会話していないことを確認するために、デジタル証明書と PKI があります。次の基準が適用される状況を除いて、すべて非常にうまく機能します。
- サーバーとクライアントは共通の信頼できるルート CA を共有していないため、互いの証明書を検証できません。
- 状況 (ファイアウォール、許可など) により、通常の HTTPS プロトコルの使用が許可されない
問題は、おそらく Javascript を使用して、クライアントとサーバー間で安全な認証済みメッセージを送信できるかどうかです。
次のようなもの:
- クライアントは通常の HTTP リクエストをサーバーに送信します
- サーバーは Javascript コードを含むページで応答します
- クライアントの Javascript は、ネゴシエーションに使用されるサーバーにデータを非同期的に送信します
- サーバーは、ある種のスクリプト (PHP など) を実行してトンネルを確立します。
- クライアントとサーバーは暗号化されたトンネルを介して通信します
このように安全かつ完全にメッセージを送信できることがわかりますが、クライアントに送信される Javascript をサーバーが動的に書き換えることができることを利用して、PKI を使用せずに認証することは可能でしょうか?