具有SSL安全性的GWT

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了具有SSL安全性的GWT相关的知识,希望对你有一定的参考价值。

我想知道使用GWT和SSL(实际上是在JBoss web-app服务器上配置TLS)的安全漏洞(如果有的话)是什么。我和我的朋友讨论了这个问题,他说,即使我启用了HTTPS,一些恶意用户也可以拦截我的.js并更改代码并在服务器上进行身份验证。我们假设除了SSL之外我们从不在线上发送纯文本密码(我们首先哈希)。这真的有可能吗?

我想知道的另一件事是 - javascript代码(由GWT生成)如何激活RPC调用?我们使用Wireshark来嗅探客户端到启用SSL的Web服务器的请求和响应,并且没有任何RPC包。我们所看到的只是这些TLS协议数据包,我们可以通过在客户端和Web服务器的源和目标IP地址上使用过滤器来轻松识别它们。

答案

如果您还通过HTTPS发送.html和.js文件,那么 - 一般来说 - 没有人能够在传输过程中操纵它们。当然,还有一些实际问题:

  • TLS实现是否有任何错误?
  • TLS协议中是否存在缺陷?
  • 客户的浏览器或计算机是否受到了损害?
  • 服务器是否受到了损害?
  • ...

我们假设,事实并非如此。但是你的声明是:

我们假设除了SSL之外我们从不在线上发送纯文本密码(我们首先哈希)。

所以你不通过SSL发送所有内容?那么,您通过SSL发送的内容可能会在转移过程中被盗和操纵。我假设,你的朋友的意思是,哈希的密码可能被盗!即使攻击者可能无法重建明文密码,如果您的服务器接受哈希密码,他也可以简单地使用哈希密码。

另见我对GWT/Javascript client side password encryption的回答。


关于你的第二个问题:

我们使用Wireshark来嗅探从客户端到启用SSL的Web服务器的请求和响应,并且没有任何RPC包。我们只看到这些TLS协议包...

好吧,我真的希望如此!您的RPC调用是这些数据包的加密有效负载。如果你可以为Wireshark提供私钥,你可以使用Wireshark's SSL dissector来破译包(使用生产密钥时要非常小心!)

另一答案

为了完全确定您的SSL / TLS配置,我建议您使用一些外部工具。到目前为止,对我来说最准确的是SSL/TLS Server Test。在那里,您可以看到您的配置如何符合PCI DSS要求,或HIPAA和NIST的指南,这些是保护SSL / TLS的行业标准。

以上是关于具有SSL安全性的GWT的主要内容,如果未能解决你的问题,请参考以下文章

WCF 服务无法为具有权限的 SSL/TLS 安全通道建立信任关系

对于 GWT GAE Java 应用程序,这种 GWT/RPC 安全方法的安全性如何?

SSL WCF“无法为具有权限‘localhost’的 SSL/TLS 安全通道建立信任关系

无法为具有权限“xxxxx.com”的 SSL/TLS 建立安全通道

WCF 无法为具有权限的 SSL/TLS 安全通道建立信任关系

无法为具有权限“apps.ika.gr”的 SSL/TLS 建立安全通道