Encryption gratuito e anonimo dei moduli Web

0

Ho un sito Web e vorrei che gli utenti potessero accedere in modo sicuro, ma non voglio spendere soldi per SSL / certificati e vorrei rimanere anonimo, cioè non dare ai certificati le persone il mio personale dettagli.

Ho letto su alcuni modi per farlo, la soluzione migliore che ho trovato è usare una libreria javascript chiamata jCryption che cripta tra client e server, ma la crittografia è nelle mani degli utenti.

Il motivo per cui sto facendo questo è economico perché a) per ottenere il corretto SSL è necessario il certificato, un IP statico e un account del server aggiornato ... tutto ciò che costa denaro eb) perché non molte persone saranno logging in e c) i dati non sono realmente "top secret", semplicemente non voglio che la password voli attraverso internet in chiaro.

È possibile crittografare i moduli di login html tra client e server? Se l'avessi fatto, i dati sarebbero stati ragionevolmente sicuri o qualche script avrebbe potuto romperlo?

    
posta Crizly 23.11.2014 - 01:27
fonte

2 risposte

4

Quello che vuoi non è possibile, perché non esiste una relazione di fiducia stabilita tra client e server e HTTP semplice non può fornire un modo sicuro per stabilire questo trust. Solo HTTPS fornisce così la fiducia controllando il certificato dei server contro gli ancoraggi di trust locali sul client, cioè deduce le nuove impostazioni di trust da trust già incorporate nel browser.

Senza tale fiducia tra client e server si è aperti a attacchi man-in-the-middle, in cui l'attaccante dichiara di essere il server contro il client e dichiara di essere il client contro il server originale. In questo caso la crittografia verrà eseguita tra il client e l'utente malintenzionato, che potrà quindi decodificare i dati, manipolare i dati e inoltrare i dati crittografati al server reale. Tali attacchi man-in-the-middle sono facilmente eseguibili in molte reti (come WLAN pubbliche e LAN più piccole).

Sebbene si possa provare a utilizzare un segreto precondiviso da utilizzare al posto dei certificati, ha lo stesso problema: il segreto in qualche modo deve essere trasferito tra client e server e finché questa connessione è aperta alla manipolazione (semplice HTTP) l'autore dell'attacco può ottenere e manipolare il segreto condiviso. Persino metodi di scambio di chiavi anonimi come Diffie-Hellmann non possono proteggere da questo.

    
risposta data 23.11.2014 - 08:29
fonte
1

Dal momento che il denaro è il problema per te, pubblicherò questo link:

link

EFF, Mozilla e altre organizzazioni si sono uniti per creare una CA gratuita. È progettato per le persone nella tua esatta situazione. Lo svantaggio è che non sarà disponibile fino al 2 ° trimestre 2015.

    
risposta data 24.11.2014 - 21:13
fonte

Leggi altre domande sui tag