jQuery Girl
  1. jQuery Girl
  3. jCryption + CRAM sont une bonne alternative au SSL?
Intereting Posts
Pourquoi le retour de false dans le rappel keydown n’arrête-t-il pas l’événement click du bouton? Activer CORS sur l’API JSON WordPress Récupère le premier et le deuxième élément td dans la rangée Publication de JSON avec JQuery question d’icons jquery UI Création de boîtes dynamics (div) avec différents titres renvoyés par SP Manière d’append une boîte de dialog JQuery sur une XPage renvoyer une chaîne avec remote en utilisant le plugin jquery validate sur Cliquez avec le bouton dans jQuery La désactivation de `@grant none` interrompt mon script Greasemonkey? Obtenir la dernière valeur sélectionnée de Select2? Charger tout le contenu (images) en même temps pour augmenter les performances du site Problèmes avec jQuery autocomplete + AngularJS Restreindre la recherche avancée dans jqgrid Le plug-in de validation jQuery ne fonctionne pas sous la forme MVC

jCryption + CRAM sont une bonne alternative au SSL?

Je voudrais savoir si le mécanisme d’authentification de jCryption + Challenge Response est une bonne alternative au SSL.

Je sais que SSL est beaucoup mieux, mais je crée un projet dans lequel le propriétaire ne souhaite pas acheter de certificate SSL et j’aimerais trouver une solution qui offre la meilleure approche de sécurité pouvant être acquise sans utilisation. de SSL.

Des idées?

Non ce n’est pas.

De nombreuses raisons me viennent à l’esprit: les en-têtes HTTP ne sont toujours pas chiffrés, l’échange de clés est vulnérable aux attaques interceptives et vous accordez une grande confiance au client code.

Il suffit d’utiliser un certificate SSL gratuit de Startcom .

Dans la section info de jCryption :

jCryption dans son état actuel ne remplace pas SSL, car il n’existe pas d’authentification , mais l’objective principal de jCryption devrait être un plugin très facile et rapide à installer qui offre un niveau de sécurité de base .

C’est assez explicite. Ce plugin ne remplace en aucun cas SSL, et ne doit pas l’être. L’objective n’est pas la sécurité de haute technologie.

Si vous souhaitez une sécurité fiable, achetez simplement un certificate SSL. Ou fabriquez le vôtre si vous le souhaitez.

Vous pouvez être intéressé par cet article:

  • La cryptographie Javascript considérée comme nuisible

Vous pouvez essayer d’utiliser le protocole CAAP (Challenging Authentication-Agreement Protocol) . Je suggère pour les algorithmes d’utiliser RSA et Serpent en mode CTR avec un code d’authentification HMAC-SHA-512 ajouté à chaque message. Cela peut être mis en œuvre en toute sécurité avec un minimum de connaissances. Même si un système SSL bien configuré serait probablement encore plus simple et sûr.

Vous pouvez toujours démarrer votre propre autorité de certificateion interne à votre organisation s’il ne s’agit pas d’un serveur public. Ainsi, les certificates SSL ne vous coûteront pas un arm et une jambe.