|
以文本方式查看主题 - 中文XML论坛 - 专业的XML技术讨论区 (http://bbs.xml.org.cn/index.asp) -- 『 XML安全 』 (http://bbs.xml.org.cn/list.asp?boardid=27) ---- 有人关心 Ajax 下用 xml 传输数据的安全性吗? (http://bbs.xml.org.cn/dispbbs.asp?boardid=27&rootid=&id=33058) |
|
-- 作者:ThinMichael -- 发布时间:5/25/2006 6:35:00 PM -- 有人关心 Ajax 下用 xml 传输数据的安全性吗? 最近从 developerWorks 上搜到两篇文章,挺有帮助,虽然是 java 平台但可读性很好。 《探索 XML 加密,第 1 部分》 《探索 XML 加密,第 2 部分》 因为用 Ajax 做服务器端传过来的都是 xml ,所以关注一下 xml 的安全性和一些算法,大家有好的提议吗?欢迎讨论! |
|
-- 作者:flyfoxs -- 发布时间:5/25/2006 9:59:00 PM -- 说到安全,我们就用常用的网卡电子银行的场景来做例子吧(没有仔细研究这个过程,只是拿来做一个例子,希望高手,或者是有相关行业经验的人能够指出错误) 它是通过SSL来实现安全,银行把它的公钥(A)给你,通过这个公钥(A)你们生成一个临时的会话密钥(B),你把你的密码用临时密钥(B)加密,然后传递给他来验证你的身份。以后的通信都用(B)来加密传递。 如果使用XML来通信的话,最笨的方法,当然就是把XML文件当成一个整体来加密,这样也就不需要XML的任何知识,我想这个可能不是楼主要的东西。楼主要的,多半是要使用“安全XML”的东西来实现安全。 这样XML完全可以有针对性以加密与签名,也就是可以很容易的实现XML的部分加密与签名。 但是这样做目前有这样的问题,AJAX虽然在富客湖端做的很好了,但是要他实现XML的部分加密与签名,好像JavaScript好像还没做到这种程度。不知道浏览器对这个支持的怎样,如果这个问题能够解决的话,我想这个应该很是可以去尝试的。 |
|
-- 作者:ThinMichael -- 发布时间:6/1/2006 6:26:00 PM -- 是啊,安全性是个问题。明文传输 一个捕获就全搞定了。加密了再传即便是用公钥和私钥的分发机制来做,也还是太麻烦了,如果遇到要租用空间的情况,可行性更是大打折扣。 我现在的想法是以对称加密为主,把私钥放到算法里加密然后和加密数据一块从客户端发送,增加一下破解的工作量,为了性能也只好如此了。其他的SSL和明文传输,争取在客户端作一个选项让客户衡量安全性与性能的取舍,如果能用 javascript 做出来就太爽了。 书也很棒,谢谢回帖! 另外还想问问在 IBM developerWorks 的时候发现进一个页面,没有安装任何证书就进入了 https 中了,百思不得其解?有高人可以说说是怎么弄的?在租用的主机空间上可行性大吗?谢谢! |
|
-- 作者:flyfoxs -- 发布时间:6/2/2006 11:54:00 AM -- 另外还想问问在 IBM developerWorks 的时候发现进一个页面,没有安装任何证书就进入了 https 中了,百思不得其解?有高人可以说说是怎么弄的?在租用的主机空间上可行性大吗? 证书是有的,只是你没有看到,你可以到你的浏览器左下角找一找。 你如果想使用SSL连接,有租用的主机空间上可能不行。使用SSL这个好像要配置服务器(这个我是完全不太清楚,只是凭一点印像)。如果最后你解决了,能回来告诉我一下吗? |
|
-- 作者:ThinMichael -- 发布时间:6/2/2006 5:12:00 PM -- 没问题! |
|
W 3 C h i n a ( since 2003 ) 旗 下 站 点 苏ICP备05006046号《全国人大常委会关于维护互联网安全的决定》《计算机信息网络国际联网安全保护管理办法》 |
7,453.125ms |