0

HTTPS は、オンラインのセキュリティに広く使用されています。セキュリティと整合性を提供しますが、認証は提供しません。クライアントが中間者と会話していないことを確認するために、デジタル証明書と PKI があります。次の基準が適用される状況を除いて、すべて非常にうまく機能します。

  • サーバーとクライアントは共通の信頼できるルート CA を共有していないため、互いの証明書を検証できません。
  • 状況 (ファイアウォール、許可など) により、通常の HTTPS プロトコルの使用が許可されない

問題は、おそらく Javascript を使用して、クライアントとサーバー間で安全な認証済みメッセージを送信できるかどうかです。

次のようなもの:

  1. クライアントは通常の HTTP リクエストをサーバーに送信します
  2. サーバーは Javascript コードを含むページで応答します
  3. クライアントの Javascript は、ネゴシエーションに使用されるサーバーにデータを非同期的に送信します
  4. サーバーは、ある種のスクリプト (PHP など) を実行してトンネルを確立します。
  5. クライアントとサーバーは暗号化されたトンネルを介して通信します

このように安全かつ完全にメッセージを送信できることがわかりますが、クライアントに送信される Javascript をサーバーが動的に書き換えることができることを利用して、PKI を使用せずに認証することは可能でしょうか?

4

1 に答える 1