山寨 SSL

2013-03-13 01:37:16 +08:00
 ipconfiger
https://gist.github.com/ipconfiger/5145056

哈哈,山寨版SSL,HTML端Javascript用公钥加密密码,在Python端用私钥解密活得明文密码。这样在POST传输 的过程中就是加密了的密码了,公钥可以直接输出到HTML。
2591 次点击
所在节点    分享创造
5 条回复
dndx
2013-03-13 01:39:30 +08:00
如何保证公钥在传输过程中没有被篡改?
ipconfiger
2013-03-13 01:54:10 +08:00
@dndx 篡改了有啥用?公钥和私钥是配对滴,要么一对都篡改。加密传输是为了保证安全,篡改公钥最多达到破坏功能的目的,但是不会泄密的了。
200
2013-03-13 02:00:41 +08:00
我想1L的意思是没有有效的公钥验证机制,就无法杜绝中间人攻击。
ipconfiger
2013-03-13 02:06:42 +08:00
@200 嗯,这么说的话有道理,不过山寨的嘛,浏览器的SSL本身也只能提醒你不安全而已
ipconfiger
2013-03-13 02:09:49 +08:00
@200 btw,如果http输出被篡改的话,验证公钥也不顶用,他根本可以绕开加密而直接在html代码中注入脚本来直接从键盘事件里获取密码,so,差不多就好啦。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/62759

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX