xmlhttprequest con https: posso testare l'impronta digitale prima di inviare qualsiasi dato

0

Sto facendo chiamate https in javascript via xmlhttprequest. Conosco in anticipo il server e la sua chiave pubblica. Per maggiore sicurezza, vorrei verificare la chiave pubblica (o la sua impronta digitale) se è ciò che mi aspetto.

Ma voglio farlo prima di inviare dati sulla rete e se le impronte digitali non corrispondono, non voglio inviare alcun dato. È possibile con xmlhttprequest? Ho trovato questa pagina , ma qui l'impronta digitale viene recuperata solo dopo una richiesta è già stato fatto.

    
posta Nathan 12.08.2015 - 22:45
fonte

1 risposta

1

I found this page, but here the the fingerprint is only retrieved after a request has already been made.

Devi fare una specie di richiesta per ottenere informazioni sul peer, perché in qualche modo ha bisogno di raccogliere queste informazioni. Ma ovviamente puoi fare una richiesta fittizia (pre-volo) che non contiene dati sensibili.

Notare che una normale applicazione non ha accesso all'impronta digitale o al certificato. L'esempio a cui fai riferimento può essere utilizzato solo all'interno di un'estensione di Firefox o da un'applicazione XULRunner che è chiaramente indicata:

...This code requires elevated privileges to run; you can only call it from a browser extension or from a XULRunner application.

Al di fuori di questi privilegi elevati, che si trovano all'interno di una normale applicazione web, puoi solo fidarti che il browser fa la cosa giusta ma puoi usare HPKP per garantire che venga utilizzata l'impronta digitale corretta del certificato, almeno con browser che supportano HPKP .

    
risposta data 13.08.2015 - 06:35
fonte

Leggi altre domande sui tag