Eu preciso de uma alternativa para WSS que não exige qualquer certificado para assinar em
Tenho o ws a trabalhar para enviar os detalhes do utilizador através de um websocket. No entanto, sei que alguém a farejar pacotes pode capturar a senha, por isso queria usar o wss em vez disso. No entanto, agora entendo, ao brincar com o meu back end, que em primeiro lugar um certificado é necessário para que ele se conecte corretamente, e em segundo lugar, se eu causar o auto assinado Aviso de certificado para sho0w, depois os websockets vai trabalhar com wss, mas isso não é bom enoyugh para os clientes. De pesquisar no Google esta questão, descobri que um certificado assinado por si próprio não será suficientemente bom.
e tudo o que quero é fornecer a um utilizador uma forma segura de se autenticar..... De qualquer forma, estou agora pensando que seria melhor evitar ter que usar wss todos juntos. Eu poderia usar um servlet convencional para login, mas que provavelmente irá exigir um certificado também para https e eu não quero ter que começar a pagar às pessoas cargas de dinheiro para certificados quando meu negócio pode nem mesmo ser que sucedido.
estive a pensar noutras formas de enviar a senha dos utilizadores de forma segura. Uma maneira pode ser gerar um hash no navegador. Eu sei que eu poderia usar algum rei do Desafio junto com um sal enviado para o navegador, mas eu não estou exatamente certo de como fazer isso e quão seguro isso seria. Eu tenho o login convencional trabalhando com um sal, gerando um hash com AES. Alguma sugestão?
só quero que os dados de login dos utilizadores sejam seguros e não quero ir pelo caminho de certificados, é irritante e pouco fiável.
2 answers
O Login deve sempre acontecer através dos HTTPS. Não só o envio do Usuário e senha, mas também a obtenção do formulário de login, de modo que o cliente pode ter certeza que está recebendo o formulário certo e que suas informações serão postadas no lugar certo.
Pode enviar os detalhes de autenticação por HTTPS ou WSS se quiser segurança. Se você usar um certificado autossignado você irá fornecer segurança de transporte, mas como o certificado não é assinado por uma CA, o cliente não pode ter certeza de que o o servidor com o qual está interagindo é o correto, e é por isso que o navegador mostra um aviso.
Então, se você quer segurança para seus clientes, você deve obter um certificado assinado e usá-lo para HTTPS e WSS (você pode obtê-los a partir de 10 dólares por ano em alguns lugares). Tudo o que você faz no navegador é inseguro por padrão, começando pelo Usuário não tendo certeza de estar interagindo com o servidor certo e não um falsificado.Achei este blog útil, apesar de ser dirigido para o raspberry pi e python/nodejs. http://simplyautomationized.blogspot.com/2015/09/5-ways-to-secure-websocket-rpi.html
Bons conceitos sobre segurança e autenticação. Eu recomendaria Sempre usar ssl e não rolar a sua própria cripto.