È possibile proteggere un'app Web senza HTTPS? [duplicare]

2

Pensa a una tipica applicazione web in cui gli utenti eseguono l'accesso, quindi la sessione viene mantenuta con una chiave di sessione. È possibile proteggerlo da tutti i tipi di attacchi basati sullo sniffing senza HTTPS o il suo equivalente?

Diciamo che non sono preoccupato per il trasferimento dei dati, solo password o furto di sessione.

    
posta Konrad Garus 30.06.2011 - 14:41
fonte

1 risposta

9

No.

Anche supponendo che tu stia solo riferendo alla perdita di password utente e / o ID di sessione (btw "sicuro" include molto più di questo) ...

Semplicemente non esiste un modo sicuro per inviare una password utente su Internet in chiaro, senza beneficiare di un adeguato protocollo di crittografia. Senza usare TLS / SSL, saresti costretto a implementarlo tu stesso - cosa che, nel migliore dei casi, sarebbe insicura.

Allo stesso modo, l'identificatore di sessione dell'utente sarebbe ugualmente esposto, se non limitato solo a HTTPS.

Detto questo, il tutto presuppone un sito Web su Internet pubblico.
Ci sono altre situazioni che possono essere protette senza TLS / SSL:

  • Sito Web interno (ad esempio aziendale) protetto da IPsec .
  • Un sito Web locale, sulla stessa macchina da cui l'utente sta navigando, accessibile solo tramite l'interfaccia di loopback (e dipendente dal fatto che la macchina sia in uso da un singolo utente, non ad esempio un server terminal condiviso).
risposta data 30.06.2011 - 14:52
fonte

Leggi altre domande sui tag