Webアプリケーションの場合、Webアプリケーションとサーバーとの通信のみを許可する通信手段を探しています。 物のURLはJavaScriptコードから抽出できるので、ログインデータに対するブルートフォース攻撃のためにURLを直接使用したり、特定のユーザーが既にシステムに登録されているかどうかを問い合わせたりしてほんの数例を挙げることができます。Webアプリケーション:サーバーとの通信が許可されている場合
クライアント側の暗号化は、JavaScriptコードを介して攻撃者に再び公開されるため、データの暗号化とサーバー側の暗号化解除は機能しません。フォーム認証ごとに、スローアウェイ認証キーを送信することができます。しかし、このような鍵は、攻撃者が再び入手して使用することができるので、セキュリティ上の利益は何ですか?
実際の質問は次のとおりです。アプリケーションとサーバとの間で直接通話を拒否するにはどうすればよいですか?
フットノート:私はSSLを持っているので、送信暗号化は問題ではありません。しかし、それはブルートフォース攻撃には役立ちません。