Cifrado eficaz y gratuito de formularios web anónimos

Navega tus respuestas
0

Tengo un sitio web y me gustaría que los usuarios pudieran iniciar sesión de forma segura, pero no quiero gastar dinero en SSL / certificados y me gustaría permanecer en el anonimato, es decir, no darles a los certificados mi personal detalles

He estado leyendo acerca de algunas maneras de hacer esto, la mejor solución que he encontrado es usar una biblioteca de javascript llamada jCryption que se encripta entre el cliente y el servidor, pero el cifrado está en manos de los usuarios.

La razón por la que estoy haciendo esto barato es porque a) para obtener el SSL adecuado, necesita el certificado, una IP estática y una cuenta de servidor actualizada ... todo lo cual cuesta dinero yb) porque no habrá mucha gente iniciar sesión yc) los datos no son realmente cosas "de alto secreto", simplemente no quiero que la contraseña vuele a través de Internet en texto plano.

¿Es posible cifrar formularios de inicio de sesión html entre el cliente y el servidor? Si lo hiciera, ¿serían los datos razonablemente seguros o podría romperlos cualquier script?

    
pregunta Crizly 23.11.2014 - 01:27
fuente

2 respuestas

4

Lo que desea no es posible, porque no existe una relación de confianza establecida entre el cliente y el servidor, y HTTP simple no puede proporcionar una forma segura de establecer esta confianza. Por lo tanto, solo HTTPS proporciona confianza al verificar el certificado de los servidores contra los anclajes de confianza locales en el cliente, es decir, infiere la nueva confianza a partir de configuraciones de confianza ya integradas en el navegador.

Sin esa confianza entre el cliente y el servidor, está abierto a los ataques de intermediarios, donde el atacante afirma ser el servidor contra el cliente y afirma ser el cliente contra el servidor original. En este caso, el cifrado se realizará entre su cliente y el atacante, que luego podrá descifrar los datos, manipular los datos y enviar los datos cifrados al servidor real. Tales ataques de intermediario se realizan fácilmente en muchas redes (como la WLAN pública y la mayoría de las LAN más pequeñas también).

Si bien puede intentar usar un secreto precompartido para usarlo en lugar de certificados, tiene el mismo problema: el secreto de alguna manera debe transferirse entre el cliente y el servidor y siempre que esta conexión esté abierta a manipulación (HTTP simple), el atacante Puede obtener y manipular el secreto compartido. Incluso los métodos anónimos de intercambio de claves como Diffie-Hellmann no pueden protegerse contra esto.

    
respondido por el Steffen Ullrich 23.11.2014 - 08:29
fuente
1

Como el dinero es el problema para ti, publicaré este enlace:

enlace

La EFF, Mozilla y otras organizaciones se han unido para crear una CA gratuita. Está diseñado para personas en su situación exacta. El inconveniente es que no estará disponible hasta el segundo trimestre de 2015.

    
respondido por el user52472 24.11.2014 - 21:13
fuente

Lea otras preguntas en las etiquetas

¿Podría haber alguna implementación donde se trunque el pw después de "espacio"? cómo cifrar un modelo sensible en Android e iOS