SSL 或代码签名证书
SSL or Code Signing Certificate
我们必须确保我们的 REST 服务是安全的,我们正在考虑为此使用 SSL 证书,但是有人建议使用代码签名证书,我不确定它是否会提供 HTTPS 协议和安全client/server 交流。 (点对点)
互联网上可用的信息不多,如果有人可以详细说明并告诉我代码签名证书是否也将在浏览器中使用 https 以进行安全 client/server 通信,这将有所帮助。
提前致谢。
... however some one is suggesting using code signing certificate and I am not sure whether it will provide HTTPS protocol and secure client/server communication .
代码签名无济于事。 Web 安全模型不是以这种方式设置的。 STREWS web security report 关于这个主题的一些好读物。它突出了几乎所有的安全特性,但它经常忽略安全漏洞(即,它没有记录风险)。
在当前模型下,浏览器执行代码,无论代码来自何处。它可能是 HTTPS、HTTP 或由坏人注入。随着 "browser as a platform" 扩展并变得更加全面以与本机应用程序保持一致,当前模型不能满足需求。这是因为某些 API 处理敏感数据,例如相机、麦克风和位置,因此需要 "any code can run from anywhere" 以上的数据。
网络模型正在向 Secure Origins to authorize code to run when it intersects with sensitive data. The only thing you need for a secure origin is a server certificate to identify the host. Also see Prefer Secure Origins For Powerful New Features in Chrome and the various discussions on the IETF's web-app-sec 邮件列表发展。
现在是提及网络正在实现 身份验证即授权 飞跃的好时机。 X509 证书仅标识服务器;它不授予任何特权 本身 。证明主机身份的 CA 不会做出这些声明或保证任何与它远程接近的东西。还有 Public Key Pinning with Overrides breaks the presumptions of Secure Contexts.
Authentication is Authorization 与 Java 的小程序和沙盒所犯的错误相同。 Java 将授权视为身份验证变得如此糟糕,以至于建议变为 "don't ask for any permissions because it allows you to break out of the sandbox (and only malware asks for permissions)"。如需更多阅读,请参阅 Java’s Losing Security Legacy。
有人不知道他们在说什么。 SSL 端点使用 SSL 证书进行保护。代码使用代码签名证书进行保护。永远不会相遇。
我们必须确保我们的 REST 服务是安全的,我们正在考虑为此使用 SSL 证书,但是有人建议使用代码签名证书,我不确定它是否会提供 HTTPS 协议和安全client/server 交流。 (点对点) 互联网上可用的信息不多,如果有人可以详细说明并告诉我代码签名证书是否也将在浏览器中使用 https 以进行安全 client/server 通信,这将有所帮助。
提前致谢。
... however some one is suggesting using code signing certificate and I am not sure whether it will provide HTTPS protocol and secure client/server communication .
代码签名无济于事。 Web 安全模型不是以这种方式设置的。 STREWS web security report 关于这个主题的一些好读物。它突出了几乎所有的安全特性,但它经常忽略安全漏洞(即,它没有记录风险)。
在当前模型下,浏览器执行代码,无论代码来自何处。它可能是 HTTPS、HTTP 或由坏人注入。随着 "browser as a platform" 扩展并变得更加全面以与本机应用程序保持一致,当前模型不能满足需求。这是因为某些 API 处理敏感数据,例如相机、麦克风和位置,因此需要 "any code can run from anywhere" 以上的数据。
网络模型正在向 Secure Origins to authorize code to run when it intersects with sensitive data. The only thing you need for a secure origin is a server certificate to identify the host. Also see Prefer Secure Origins For Powerful New Features in Chrome and the various discussions on the IETF's web-app-sec 邮件列表发展。
现在是提及网络正在实现 身份验证即授权 飞跃的好时机。 X509 证书仅标识服务器;它不授予任何特权 本身 。证明主机身份的 CA 不会做出这些声明或保证任何与它远程接近的东西。还有 Public Key Pinning with Overrides breaks the presumptions of Secure Contexts.
Authentication is Authorization 与 Java 的小程序和沙盒所犯的错误相同。 Java 将授权视为身份验证变得如此糟糕,以至于建议变为 "don't ask for any permissions because it allows you to break out of the sandbox (and only malware asks for permissions)"。如需更多阅读,请参阅 Java’s Losing Security Legacy。
有人不知道他们在说什么。 SSL 端点使用 SSL 证书进行保护。代码使用代码签名证书进行保护。永远不会相遇。