問題タブ [https]

ssl_requirement プラグインを見てください。

本番モードにあるかどうかを確認する必要はありませんか? 開発モードで https へのリダイレクトが見られますが、これは奇妙に思えます。それとも、プラグインの通常の動作ですか? 昔は動きが違うと思っていた。

内部ネットワークにあり、その内部からのみアクセスできる HTTP サーバーがあります。外部からアクセス可能な HTTPS ポートをリッスンし、リクエストをその HTTP サーバーに転送する (そして HTTPS 経由で応答を返す) 別のサーバーを配置したいと考えています。いくつかのプログラミングを使用してこれを行うにはいくつかの方法があることを知っています (そして私自身、Tomcat と私が書いた非常に単純なサーブレットを使用して一時的な解決策を作成しました)。 + モジュール)?

geckoブラウザが組み込まれたアプリケーションがあります。この時点でnssが適切に初期化されていないため、httpsURLにアクセスしようとするとアプリケーションがクラッシュします。クラッシュはPK11_TokenExists（）にあります。ブラウザによるhttpsサイトのレンダリングをブロックしたい。ユーザーがhttpsリンクをクリックすると、nsIURIContentListenerのOnStartURI（）でその読み込みをブロックできますが、ユーザーがorkut.comと入力した場合、OnStartURI（）でhttp URLかhttpsURLか（つまり、 SSLを使用するかどうか）。このような場合にhttpsURLをブロックする方法を知りたいですか？

ありがとうjbsp72

最近セキュリティ監査を実施したところ、ここにあるシステムのいくつかの弱点が明らかになりました。その結果生じたタスクの 1 つは、パートナー資格情報システムを更新してより安全にする必要があるということです。

「古い」やり方では、(悪い) パスワードを生成し、それを ID とともにパートナーに渡し、パートナーはその ID とそのパスワードの Base 64 でエンコードされたコピーを、すべての XML 要求と共に https 経由で送信していました。 . 次に、それらをデコードして検証します。

これらのパスワードは変更されません (その場合、パートナーはそれらを変更するためにコーディング/構成の変更を行う必要があり、複数の環境で何百ものパートナーとパスワードの有効期限を調整するのは悪夢になるため)、人間がパスワードを入力する必要はありません。または人間が読める形式。私たちのパートナーにとってより良いが比較的単純な実装があれば、私はこれを変更することにオープンです.

基本的には、Java パスワード生成システムをより安全にする必要があることと、それらが安全な方法で送信されるようにすることの 2 つに帰着します。

手巻きのパスワードジェネレーターをいくつか見つけましたが、これを行うための標準的な方法として本当に目立ったものはありませんでした (おそらく正当な理由による)。また、https を介した単純な Base 64 エンコーディングよりも安全な方法で送信することもできます。

パスワードジェネレーターに対して何をしますか? また、現在の送信方法は十分に安全だと思いますか?

編集: XML は SOAP メッセージに含まれており、資格情報は XML 自体ではなくヘッダーにあります。また、パスワードは設定時にパートナーごとに 1 回限りの操作であるため、ジェネレーターの効率についてはあまり心配していません。

私の最近のいくつかのプロジェクトには、製品/サービスを販売し、ユーザーがクレジット カード情報などを入力する「チェックアウト」プロセスを必要とする Web サイトが含まれていました。明らかに、セキュリティのためにSSL証明書を取得し、顧客に安心感を与えています. ただし、その微妙な点については少しわかりません。最も重要なのは、Web サイトのどの部分で証明書を「使用」する必要があるかについてです。

たとえば、ホームページにアクセスした瞬間に https が入力される Web サイト (主に銀行サイト) に行ったことがありますが、最終的にチェックアウトするときにのみ https が入力される Web サイトもあります。銀行レベルで何かを扱っていないのに、ウェブサイト全体を https で実行するのはやり過ぎですか? チェックアウトページだけを https にする必要がありますか? 全力を尽くすことによるパフォーマンスへの影響は何ですか?

Http を使用してページを要求したユーザーに、安全な https バージョンを使用させるにはどうすればよいでしょうか?

アプリケーション サーバーとして Websphere 6.1 を使用し、開発環境として Rad 7 を使用しています。

ありがとうダミアン

HTTPS 経由で安全な通信を行うために継承したクライアント コードを調べていますが、サーバー証明書の共通名をチェックしていないようです (例: 'CN = "example.com"' を実際の URL に対してクライアント アプリはさまざまな環境と通信する必要があるため、これはおそらく意図的なものであり、最初のポータル (例: example.com/main) に接続し、ユーザーが環境を選択した後、アプリは特定の IP にリダイレクトされます。したがって、今後のすべてのリクエストは「 http://127.0.0.1/page 」のようになります。

ただし、SSL の初心者であるため、このチェックを無効にすることの意味がわかりません。私の最初の反応は、他の誰かが私たちの証明書をコピーして、私たちのサーバーの 1 つになりすますことができるため、ある種の中間者攻撃を実行する方が簡単だということです。しかし、共通名のチェックを行っている場合は、カスタム DNS 設定を使用して同じことを行うことができるため、実際には何も得られないようです. これにより、他の方法では無防備になる他の攻撃はありますか?

ありがとう

Java クライアントから https 経由で Web サービスを利用したいと考えています。これを行うには、どのような手順を踏む必要がありますか?

私は AJAX の方法論にかなり慣れていません (最近jQueryを発見したのはほんの少し前のことです)。PHPセットアップでユーザーを認証する方法があるかどうか知りたいです。安全に。

jQuery には、HTTPS の使用 (または ajax 呼び出しを暗号化する他の方法) を許可する特別なオプションがありますか?

はい、データをサーバーに送り返すことはできますが、それでは楽しみが台無しになります。:)

http と https のパフォーマンスに大きな違いはありますか? HTTPS は HTTP の 5 分の 1 の速さになるという記事を読んだことを思い出すようです。これは現世代の Web サーバー/ブラウザーで有効ですか? もしそうなら、それをサポートするホワイトペーパーはありますか?