Come posso essere sicuro di scaricarlo tramite SSL?

2

Forse sto facendo una domanda assolutamente stupida, ma non ho ancora trovato la risposta. So che quando invio o ottengo un dato in un browser tramite https, sia il server che il client (browser) controllano reciprocamente i certificati. Se tutto è a posto, inizia il trasferimento dei dati.

Ora mi chiedo come gestire tutte queste cose nel mio codice? Sto usando un framework che mi permette di scaricare i dati. Quando sto specificando un indirizzo come link scarico elementi. Ma non ho specificato alcun certificato (non ne ho!). Quindi, come funziona nel mio caso? È davvero https?

Ecco un esempio che mi ha confuso: ho alcuni file in dropbox . Posso scaricarlo con il mio codice se specifichi l'indirizzo link . Ma posso anche scaricare lo stesso file se specifichi solo link !

    
posta nikitablack 29.01.2015 - 14:04
fonte

2 risposte

3

Se stai cercando di scrivere codice per scaricare dati su TLS (SSL), dovresti considerare se sai da quali host stai scaricando e usa un pinning certificato del certificato.

Cert. il blocco consiste nel codificare il certificato del server a cui ci si connette nel codice e accettare la connessione solo se è stato creato su TLS utilizzando il certificato previsto. OWASP spiega il concetto qui: link

In pratica, dipende da te verificare esplicitamente i diversi dettagli della connessione che stai configurando. Maggiori informazioni sul quadro e sullo scenario potrebbero aiutare.

    
risposta data 29.01.2015 - 15:32
fonte
1

È necessario raggruppare insieme certificati di certificazione CA attendibili nell'applicazione, specialmente se si stanno contattando siti Web https di terze parti. I principali browser verificano i siti Web utilizzando certificati in bundle con l'applicazione o il sistema operativo. Il browser controlla quindi che il certificato ricevuto sia firmato da una delle CA radice memorizzate.

Dovresti quindi fare la stessa cosa con i browser e verificare che il certificato ricevuto sia firmato da una CA importante.

Il blocco dei certificati può funzionare per il tuo server PROPRIO con un certificato autofirmato e non desideri acquistare un certificato firmato commercialmente. Ma è una soluzione molto povera per una terza parte in cui il certificato può cambiare senza preavviso. I certificati scadono, possono essere revocati, o improvvisamente sostituiti per qualsiasi motivo, e quindi improvvisamente la tua applicazione non funzionerà finché non aggiorni l'applicazione di Everyones. Questa è una soluzione scadente.

    
risposta data 30.01.2015 - 00:28
fonte

Leggi altre domande sui tag