如何在没有HTTPS的情况下提供一些安全性?

时间:2014-05-08 01:25:22

标签: security ssl encryption https ipsec

第一:我知道HTTPS是HTTP + SSL。我知道SSL是唯一 true选项,用于通过Internet安全地发送连接信息。我的问题涉及SSL不是选择的情况,加密是不必要的 - 但无论如何都是需要的。

第二:这不是重复。诸如How to send password securely via HTTP using Javascript in absence of HTTPS?之类的问题描述了其他方法存在的问题,但是当加密用于教育目的时,没有具体可以用作下一个最好的方法。

作为对课外互联网安全的一些研究的一部分,我想创建一个使用用户配置文件的网站,并允许用户通过密码登录。本网站不接受信用卡信息,不会保存敏感的个人信息,也不会成为窃取个人信息的网站。 出于这个问题的目的,我会说出一些东西,并说该网站只是拥有一个人最喜欢的电影。出于这些原因,我不想使用SSL。

但是,我确实想要使用其他加密技术。我知道加密是不必要的,因为在实践中没有人会试图窃取一个网站的帐户,该网站只保存某人最喜欢的电影的信息。目的纯粹是教育性的,看看下一个最安全的选项在SSL背后的安全性。 如上所述,我知道SSL是唯一真正的安全连接。

问题:鉴于我所描述的情况,提供“有点安全”的选项有哪些选择?连接?网站可以使用IPsec来保护连接,和/或使用质询 - 响应吗?

提前谢谢。

编辑:我需要加密所有流量,而不仅仅是登录。

1 个答案:

答案 0 :(得分:0)

你需要一些构建块:

  • 您不能在网站中使用经典表单提交和HTTP链接,但必须通过AJAX运行所有请求
  • 在发送您的AJAX请求之前,您必须加密:This SO question为您提供一个很好的指针,告诉您如何与PHP交谈
  • 在从PHP回复您的回复之前,您必须对它们进行加密,然后在JS中解密

这很好用,我经常使用它 - 它提供了一些简单的替代HTTPS的某些方面(我认为从根本上打破了)