web-dev-qa-db-fra.com

Secure JQuery Ajax Appels d'une page non sécurisée

Je ne pouvais pas trouver une réponse claire, mais si j'ai la situation suivante: je navigue à une page disons - http://www.example.com/index.html

Maintenant, j'utilise un formulaire sur cette page pour effectuer un post-pack avec les fonctions Ajax de JQuery à l'URL suivante: https://www.example.com/login.aspx (ASPX pourrait être n'importe quoi, MVC, WebForms , PHP, Ruby etc.).

Est-ce sûr ou pas? Je me rends compte que pas toute la session est sécurisée.

Ou est-ce sûr, mais les navigateurs se plaignent-ils? Sera-t-il plus sûr d'utiliser un domaine entièrement différent? https://www.example.org/login.aspx

7
Roger Far

Non, il n'est pas sécurisé et l'utilisation d'un autre domaine ne vous aidera pas.

Un attaquant peut manipuler le code HTML/JavaScript sur la page http pour modifier la destination de l'appel AJAX à son propre serveur. Ou même mieux, ajoutez un deuxième appel.

9

Une fois votre navigateur visit le domaine www.example.com et téléchargements Index.html sur votre navigateur, l'ensemble de HTML est stocké sur votre ordinateur. Étant donné que tout ce qui est stocké sur le côté client peut être altéré que cela est considéré comme dangereux et vous ne pouvez pas faire confiance aux données que le client est renvoyé du script supposé www.example.com servi à l'utilisateur.

Cela signifie que Login.aspx doit traiter chaque bit de données envoyé sous forme de données sales et la nettoyer.

Le changement de domaine ne fait pas grand chose, et le navigateur ne se plaint de JavaScript déclenche une forme sur un domaine différent.

5
Chris Dale

Les attaques comme "SSL-stripping" sont un exemple clair de la manière dont ces approches pouvaient être exploitées. Ceci est un design vulnérable.

Un outil simple Python par Moxie pour exploiter une telle conception: http://www.thoughcrime.org/software/sslstrrip/index.html

1
AbhishekKr