我正在努力的目標是成爲一種安全的用戶註冊和身份驗證方法,使用php和javascript而不是ssl/tls。有沒有辦法在客戶端驗證javascript文件的完整性?
我意識到這可能被認爲是一個不可能完成的任務,之前已經嘗試過1000次,但我仍然會放棄它。我在網上看到的每一個聲稱這樣做的例子似乎都有一些巨大的致命缺陷!
無論如何,我目前的問題是在客戶端驗證JavaScript。問題是,如果我的sha1在JavaScript中的實現被一些中間人修改,那麼它根本就不安全。如果我可以驗證收到的JavaScript沒有被篡改,那麼我想我可以把它關閉。
但真正的問題是,在客戶端做事情的唯一方法是javascript。簡單:寫一個JavaScript來驗證其他JavaScript文件的完整性。不!中間人可以修改這個文件。
有沒有辦法解決這個問題?
如果我要使用https,我會使用它的整個過程而不僅僅是JavaScript。除非有一家公司會爲我的https服務我的javascript。對於病毒,鍵盤記錄器, ;沒有什麼可以做的! 通過代理你是指一個真正的代理服務器或惡意中間人? – Matthew 2009-12-22 11:34:25
@Matt:兩者。一些公司配置他們的代理來解碼流,以便他們可以檢查HTML是否存在病毒,木馬等。 – 2009-12-22 12:43:24
或訪問禁止網站,如playboy.com上的OSS下載頁面。 – 2009-12-22 12:43:55