我遇到aSSL,这似乎已经有几年了,并且想知道是否有人有其他“安全”AJAX连接代码示例?显然,这不如使用SSL证书那么安全,但是在那里有null character SSL攻击(最近针对PayPal进行了演示),对于那些需要“高度重视”的网站,重新审视类似aSSL的内容是否值得“像网上银行等安全吗?如果是这样,最好的方法是什么呢?
答案 0 :(得分:1)
拥有安全通道的唯一方法是确定,确保对方是您认为他是谁。这就是PKI(公钥基础设施)与SSL一起发挥作用的地方。没有PKI,很难获得“信任”,这正是CA(证书颁发机构)所销售的。
没有明确CA的系统的示例是PGP,但是,问题在于难以知道声称是具有公钥Kx的人X的人实际上不是具有公钥Ky的人Y.
因此,最好坚持使用默认SSL,而不是使用由半专业人士制作的一些商业/开源软件。
答案 1 :(得分:1)
为避免null character SSL flaw出现任何问题,在线银行应使用EV SSL证书,因为它们不受影响。 aSSL可能是EV SSL证书的一个很好的补充。
答案 2 :(得分:1)
opensource Forge项目提供了SSL(TLS)的JavaScript实现,并有一个XmlHttpRequest包装器,用于在ajax调用中使用它。