Warning: file_get_contents(/data/phpspider/zhask/data//catemap/9/javascript/401.json): failed to open stream: No such file or directory in /data/phpspider/zhask/libs/function.php on line 167

Warning: Invalid argument supplied for foreach() in /data/phpspider/zhask/libs/tag.function.php on line 1116

Notice: Undefined index: in /data/phpspider/zhask/libs/function.php on line 180

Warning: array_chunk() expects parameter 1 to be array, null given in /data/phpspider/zhask/libs/function.php on line 181

Warning: file_get_contents(/data/phpspider/zhask/data//catemap/6/opengl/4.json): failed to open stream: No such file or directory in /data/phpspider/zhask/libs/function.php on line 167

Warning: Invalid argument supplied for foreach() in /data/phpspider/zhask/libs/tag.function.php on line 1116

Notice: Undefined index: in /data/phpspider/zhask/libs/function.php on line 180

Warning: array_chunk() expects parameter 1 to be array, null given in /data/phpspider/zhask/libs/function.php on line 181
Javascript 安全握手的SSL替代方案? 我很好奇,是否有什么方法可以让服务器在不知道客户端是完全“友好”的代码而不监视1)用户的输入或2)网络请求的情况下验证客户端_Javascript_Security_Ssl_Iframe - Fatal编程技术网
Fatal编程技术网
  • javascript/
  • Javascript 安全握手的SSL替代方案? 我很好奇,是否有什么方法可以让服务器在不知道客户端是完全“友好”的代码而不监视1)用户的输入或2)网络请求的情况下验证客户端

Javascript 安全握手的SSL替代方案? 我很好奇,是否有什么方法可以让服务器在不知道客户端是完全“友好”的代码而不监视1)用户的输入或2)网络请求的情况下验证客户端

javascript security ssl iframe

Javascript 安全握手的SSL替代方案? 我很好奇,是否有什么方法可以让服务器在不知道客户端是完全“友好”的代码而不监视1)用户的输入或2)网络请求的情况下验证客户端,javascript,security,ssl,iframe,Javascript,Security,Ssl,Iframe,我能想到的唯一方法是,如果浏览器有一个内置的、安全的、隔离的shell/作用域,它可以散列和发送数据(可以通过一个补充的服务器unhashing/lookup脚本进行验证) 是否有任何浏览器支持的(非DOM)输入/哈希方法也可以安装在服务器上,以识别真实性或用户输入?我想避免Chrome扩展和潜在的键盘记录,但我不确定是否有浏览器支持此功能 谢谢 编辑 我认为在一个单独的窗口中进行某种形式的两步身份验证是最接近的,但我没有SSL,我不喜欢随机“弹出”窗口的显示如果我正确理解你的问题,你是在要

我能想到的唯一方法是,如果浏览器有一个内置的、安全的、隔离的shell/作用域,它可以散列和发送数据(可以通过一个补充的服务器unhashing/lookup脚本进行验证)

  • 是否有任何浏览器支持的(非DOM)输入/哈希方法也可以安装在服务器上,以识别真实性或用户输入?我想避免Chrome扩展和潜在的键盘记录,但我不确定是否有浏览器支持此功能
    • 谢谢

    编辑

    我认为在一个单独的窗口中进行某种形式的两步身份验证是最接近的,但我没有SSL,我不喜欢随机“弹出”窗口的显示

    如果我正确理解你的问题,你是在要求证明输入表单的数据既不是恶意软件操纵的,也不是恶意软件生成的。但您(作为服务器的操作员)无法控制客户端

    这是不可能的,只要您不控制客户端,因为在网络级别上无法区分用户生成的数据和软件生成的数据,而这就是您在服务器上获得的所有数据。甚至浏览器扩展生成的输出也可能被伪造

    我认为某种形式的两步认证是最接近的

    2FA仅与客户端的身份验证相关,不提供使用户生成的数据抗篡改的方法

    安全握手的SSL替代方案

    SSL仅保护传输,不防止在恶意浏览器扩展或类似扩展中修改用户输入。它也不能保护客户端机器上的中间人(即类似的人)。

    < P>如果我正确地理解了你的问题,你要求证明输入到表单中的数据既不被恶意软件操纵也不产生。但您(作为服务器的操作员)无法控制客户端

    这是不可能的,只要您不控制客户端,因为在网络级别上无法区分用户生成的数据和软件生成的数据,而这就是您在服务器上获得的所有数据。甚至浏览器扩展生成的输出也可能被伪造

    我认为某种形式的两步认证是最接近的

    2FA仅与客户端的身份验证相关,不提供使用户生成的数据抗篡改的方法

    安全握手的SSL替代方案

    SSL仅保护传输,不防止在恶意浏览器扩展或类似扩展中修改用户输入。它也不能防止恶意的人在客户端机器上(即类似)。是的,我担心没有一个孤立的环境,键盘记录者不能在浏览器中捕获输入,除了SSL服务的环境。我觉得应该有办法把AUTH和KEWAN切换到设备/浏览器(比如iPhone TouCHID),我担心中间拦截中的人,不想让用户把密码泄露给全球环境,考虑到他可能运行的内容脚本可能会监视他的input@neaumusic:在当前形式中,问题没有清楚地描述您担心什么。中间人可以在浏览器中做不同于人的事情,这也与系统上的通用恶意软件不同。也许你应该先描述你试图解决的原始问题,而不是你想解决的问题(参见)。对于这类问题,一个更好的网站可能是security.stackexchange.com。如果你问一些具体的问题,我可以帮你澄清。中间的人是在服务器收到密码之前读取密码的人。如果没有潜在的键盘记录者或
    检查窃取您输入的每个密码和电子邮件的代码,如何没有本地方式来验证用户身份。我只是想了解Adblock和其他扩展的最新情况??如果用户安装了许可扩展,SSL就不安全,对吗?浏览器和操作系统应该有钩子来私下发送经过身份验证的请求,而不是反映在dom上,但我不知道这些钩子是什么are@neaumusic:您最后的评论听起来像是在问如何保护身份验证部分。原来的问题听起来像是关于保护用户输入的一般问题。2FA或甚至是一个因子,其中因子是一个单独的设备(“拥有”和“不知道”)可能对第一个有帮助,但对第二个没有帮助。感谢您的回复。是的,我担心没有一个孤立的环境,键盘记录者不能在浏览器中捕获输入,除了SSL服务的环境。我觉得应该有办法把AUTH和KEWAN切换到设备/浏览器(比如iPhone TouCHID),我担心中间拦截中的人,不想让用户把密码泄露给全球环境,考虑到他可能运行的内容脚本可能会监视他的input@neaumusic:在当前形式中,问题没有清楚地描述您担心什么。中间人可以在浏览器中做不同于人的事情,这也与系统上的通用恶意软件不同。也许你应该先描述你试图解决的原始问题,而不是你想解决的问题(参见)。对于这类问题,一个更好的网站可能是security.stackexchange.com。如果你问一些具体的问题,我可以帮你澄清。中间的人是在服务器收到密码之前读取密码的人。如果没有潜在的键盘记录者或
    检查公司,如何没有本地方法来验证用户