第一:我知道 HTTPS 是 HTTP + SSL。我知道 SSL 是通过 Internet 在连接上安全发送信息的唯一真实选项。我的问题与 SSL 不是选择且加密不是必需的情况有关 - 但无论如何都是需要的。
第二:这不是重复的。 How to send password securely via HTTP using Javascript in absence of HTTPS?等问题描述其他方法的问题,但没有具体说明在将加密用于教育目的时可以用作次佳方法的方法。
作为课外 Internet 安全研究的一部分,我想创建一个使用用户配置文件并允许用户通过密码登录的网站。本网站不获取信用卡信息,不会持有敏感的个人信息,一般来说,不会成为值得窃取个人信息的网站。 出于这个问题的目的,我会编造一些东西并说该网站只是拥有一个人最喜欢的电影。由于这些原因,我不想使用 SSL。
不过,我确实想使用一些其他的加密方法。我知道加密是不必要的,因为在实践中没有人会试图窃取一个只保存某人最喜欢的电影信息的网站的帐户。目的纯粹是教育性的,以了解次安全选项在 SSL 之后的安全程度。 如上所述,我知道 SSL 是唯一真正的安全连接。
问题:鉴于我所描述的情况,提供“比较安全”的连接有哪些选择?网站是否可以使用 IPsec 来保护连接,和/或使用某些东西比如挑战-响应?
提前谢谢你。
编辑:我需要对所有流量进行加密,而不仅仅是登录。
最佳答案
您需要一些构建 block :
- 您不能在您的站点中使用经典表单提交和 HTTP 链接,但您必须通过 AJAX 运行所有请求
- 在发送您的 AJAX 请求之前,您必须加密:This SO question给你一个很好的指导,告诉你如何与 PHP 对话
- 在从 PHP 发回您的回复之前,您必须加密它们,然后在 JS 中解密
这很好用,我经常使用它 - 它为 HTTPS 的某些方面提供了一个简单的替代方案(我认为它从根本上被破坏了)
关于security - 我如何在没有 HTTPS 的情况下提供一些安全性?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/23531168/