StrangeAttractor
@StrangeAttractor

Какие есть решения для шифорвания коммуникаций между web-сайтом и клиентом без использования HTTPS?

Как известно в деле обеспечения конфиденциальности данных, передаваемых между web-сайтом/сервисом и клиентом на HTTPS в наше время уже нельзя положиться полностью т.к. некоторые (администраторы корпоративных сетей и даже целые государства) расшифровывают его самым бесцеремонным образом. Назрел очевидный вопрос: какие есть альтернативы? Да, имея некоторое представление о криптографии можно пытаться городить какие-то велосипеды, но надо ли, или что-то хорошее уже придумано до нас?
  • Вопрос задан
  • 426 просмотров
Пригласить эксперта
Ответы на вопрос 2
sim3x
@sim3x
Никаких
В песочнице вообще мало что от "екскаватора" можно защитить

Только наличие своего приложения дает возможность расчитывать на хоть какую-то безопасность обмена информацией
Ответ написан
Встраивание в цепочку SSL/TLS осуществляется за счет установки фальшивого корневого сертификата на клиенте, т.е. если говорить более широко - за счет компрометации клиентского компьютера.

В такой постановке задачи, если злоумышленник захочет очень сильно, он может просто отображать для Вас то, что Вы хотите видеть, при этом по каналу связи передавать совершенно другое (фантазия может быть совершенно разнообразна).

Единственный выход - аппаратное устройство, системному и прикладному ПО которого, Вы доверяете. Если речь идет о небольших объемах информации, то можно посмотреть в сторону trust-screen-ов (SafeTouch , ruToken PINpad, Vasco DigiPass 920 и аналогичных).

Либо же, если имеется основание считать одновременный взлом Вашего ПК и смартфона маловероятным - различные аналогичные софварные решения, которые отображают на смартфоне ключевой блок информации с ПК.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы