Учитывая все покрытие, которое FireSheep получает, я пытался разработать оптимальные методы балансирования использования HTTP/HTTPS для некоторых сайтов, которыми я управляю (например, сайты блогов, сайты журналов с комментариями пользователей).HTTP-сайт с API JSONP через HTTPS?
Для меня его более убить, чтобы доставлять все страницы по HTTPS, если пользователь вошел в систему. Если страница является общедоступной (например, в блоге), мало что зашифровано публичной страницей. Все, что я хочу сделать, это предотвратить захват сеанса, обнюхивая куки по HTTP-каналам.
Так, один план:
- Войти форма над HTTPS
- Выпуск два печенья: один печенья является «общественность» и определяет там пользователя только для чтения аспектов (например, «Добро пожаловать боб!») , Второй файл cookie является закрытым и только HTTPS. Это cookie, который проверяется всякий раз, когда пользователь вносит изменения (например, добавляет комментарий, удаляет сообщение).
Это означает, что все «меняющиеся» запросы должны выдаваться через HTTPS.
Мы используем много AJAX. Действительно, многие формы комментариев используют AJAX для публикации контента.
Очевидно, что я не могу использовать AJAX для публикации содержимого на HTTPS-сервере из интерфейса HTTP.
Мой вопрос: могу ли я использовать инъекцию скрипта (я думаю, что это обычно называется «JSONP»?) Для доступа к API? Таким образом, в этом случае будет публичная страница HTTP, которая отправляет данные в частный бэкэнд путем ввода сценария, доступного через HTTPS (чтобы частный файл cookie был виден в запросе).
У вас есть HTTPS-контент внутри HTTP-страницы? Я знаю, что вы получаете предупреждения по-другому, но я полагаю, что HTTPS внутри HTTP не является нарушением безопасности.
Будет ли это работать? Кажется, он работает в хроме и FF, но его IE, который будет сторонником pooper!
Да, использование API на основе GET не является идеальным. Но я не знаю другого пути. Я предполагаю, что вы можете обеспечить GET-вызов с однократными токенами доступа и т. Д. Но не идеально. –