有时HTTPS还不够。特别是当我们谈论保护用户数据来保存在winsock32级别访问的特洛伊木马时,他们可以在纯文本中嗅探https或者已经可以访问浏览器内存中已解密的发布数据的BHO对象。
在这种情况下,我开发了一个javascript - >经典的asp客户端服务器例程,javascript加密并发送ASP接收和解密的数据。它非常好。
此解决方案是使用xICE加密构建的,它提供了javascript与PHP或ASP之间的良好兼容性。但现在我正在迁移到ASP.NET或Java,而且XICE中没有这些环境的端口。
¿有什么建议吗?
答案 0 :(得分:3)
我从未听说过xICE,所以我试图搜索更多信息。我发现的只是该公司发布的信息,以及一篇关于称为“ICE”的算法的文章并没有明确相关。我无法找到有关xICE使用的算法的信息。我发现的信息是4到5岁。
所有这些迹象都与“蛇油”密码学一致。您不太可能为其他平台找到任何信誉良好的兼容库提供商。
我建议使用众所周知的算法,例如AES。可以使用免费的JavaScript实现来支持客户端加密。就个人而言,我喜欢"JavaScrypt"的透明度(以及作者的信条),但还有其他实现可能更快。
这样的解决方案可以免费提供更好的加密技术,并且更容易与其他平台集成。
答案 1 :(得分:2)
有趣的是,SSL 足够。或者说,尽可能好。
客户端可以通过JavaScript或其他方式看到的任何内容都可以通过特洛伊木马等在客户端上看到。
任何JavaScript加密都是默默无闻的安全措施。
答案 2 :(得分:1)
根据JavaScript库的不同,移植到C#可能很容易,但您可能希望运行并重构一下。学习语言的最佳方法之一是将库移植到其中。否则,JS中有很多用于AES和其他的实现。其中许多针对ActionScript和JavaScript进行了优化(与EcmaScript本身存在一些细微差别)。