1. ホーム
  2. 質問と答え
  3. セキュリティで保護されていないページからのXMLHttpRequest

セキュリティで保護されていないページからのXMLHttpRequest

2011-12-17 9 views
4

この設定はどの程度安全ですか?セキュリティで保護されていないページからのXMLHttpRequest

非セキュアページ 'http://www.site.com' POST とのXMLHttpRequestをURLになります 'https://www.site.com/dosomething.asp'

ページdosomething.aspが持っていますヘッダー「Access-Control-Allow-Origin:http://www.site.com」を に設定し、保護が必要なユーザー関連のデータを返します。

エラーはありません。すべてうまくいきます。

実際のPOST要求はどの程度安全ですか? この要求からのresponseTextの安全性はどれくらいですか?

出典

2011-12-17 user980261

+3

アプリケーションに非SSLコンポーネントを導入するとすぐに、SSLの利点がすべて失われてしまいます。あなたは、最も弱い部分と同じくらい安全です。このため、ブラウザは、セキュリティ警告としてユーザーにSSL/SSL以外のコンテンツが混在していると報告します。 – Cheekysoft

答えて

4

私が見ることができる最も重要な問題は、安全でないページが安全でないことです(わかりました)。誰かがその安全でないページに対して中間者攻撃を試みると、JavaScriptインジェクションなどを使用してページの機能を編集して、セキュアURLとの間で送受信されるコンテンツを傍受する可能性があります。セキュアモード(SSL/TLS)で両方のページを使用することをお勧めします。

出典

2011-12-17 19:14:55 ziesemer

+0

ここに私の考えがあります - たぶん私は間違って死んでいます。安全でないページに2つのフォームフィールドのユーザー名とパスワードがあるとします。 dosomething.aspへの接続はSSLを介してのみ行われ、responseTextが安全である場合...基本的なプライバシー要件を満たすのに十分安全でないかぎり? – user980261

+0

私は開発するか、または責任を負うアプリケーションに含まれていません。あなたのアプローチは、ネットワーク上でデータを "詮索する"から保護しますが、私は上記のように、元のページを保護しないと誰かが要求と応答の両方をより簡単に利用するオープンパスを残さないでしょう。あなたが本当に良い理由がない限り、私は強く両方のページのセキュリティをお勧めします。これにより、ユーザーが実際にデータを入力しているときにWebブラウザが「セキュアモード」で表示されるため、ユーザーに信頼感が向上します。 – ziesemer

+0

何ができるの?このセットアップで最も緊急な問題を解決するには...何らかの理由でこの設定を変更できない場合は、ブラウザの「セキュアモード」はユーザに表示することは重要ではありません。この場合は... – user980261

2

アプリケーションに非SSLコンポーネントを導入すると、SSLの利点がすべて失われてしまいます。あなたは、最も弱い部分と同じくらい安全です。このため、ブラウザは、セキュリティ警告としてユーザーにSSL/SSL以外のコンテンツが混在していると報告します。

出典

2011-12-19 13:27:36 Cheekysoft

-2

Wiresharkはネットワーク経由で移動するネットワークパケットを監視するプログラムです。それは無料で人気があります。この質問に答える明確な方法は、Wiresharkを取得し、それを学び、それを適用するための日を取ることです。

ソースサイトからのトラフィックを参照するには、フィルタは次のようになります。& &(ip.dst == [ターゲットのIPアドレス])

(ip.src == [ソースのIPアドレス])

戻ってくるものを確認するには、ip.srcとip.dstを入れ替えてください。あなたは実際には両方のフィルタ式を実際に組み合わせることができます。

これは、パケットが移動しているネットワーク上にいることを前提として機能します。

一つの最後の項目は:ここでは、PKI(HTTPS/SSL/TLS)の説明です:http://www.mitre.org/news/the_edge/february_01/steve.html

私は似たような状況の並べ替えをWiresharked、と私はTLS(HTTPS)トラフィックを送受信して検証しました。しかし、このような状況ではないので、私は推測したくありません。

出典

2012-01-26 23:50:38 kermit

+0

あなたがここで何を言おうとしているか分かりません。そのようなXHRがHTTPS経由で送信されるということは、セットアップ全体が安全であるということを意味するものではありません(@ ziesemerの回答を参照)。この問題は、これとほぼ同じです:http://stackoverflow.com/a/8893704/372643 – Bruno

+0

Wiresharkを使用すると、データがTLSで暗号化されているかどうかを実際に確認することができます。 Wiresharkは慣れていますが、ネットワークトラフィックを調べるための非常に強力なツールです。私はログイン資格情報を送信するhttpsランディングページを持っています。それはすべてhttpsを超えています。ネットワークトラフィックを見ると、データがTLSで暗号化されていることは明らかです。したがって、安全です。 – kermit

+0

また、私は最適ではない状況を最大限に生かすことに慣れています。おそらくこのポスターはAES暗号を調べることができます:http://msdn.microsoft.com/en-us/magazine/cc164055.aspx - これは伝送セキュリティを必要とするアプリケーションで効果があったことがわかりました。 – kermit

関連する問題

 関連する問題