Безопасный вход в систему: шифрование с открытым ключом в PHP и JavaScript

Заранее: я прошу прощения за отрицательный ответ;

Внедрение собственного протокола безопасности никогда не является хорошей идеей, если только вы не хорошо обучены эксперт по безопасности, или вы на самом деле не заботитесь о безопасности и хотите только создать впечатление безопасности (маркетинг) и остановить скрипачей.

SSL определенно не блокировка отпечатков пальцев, как сказано в ваших комментариях, JCryption и ваше предложение равносильны наличию двери, в которую вы можете ввести двузначный код, чтобы открыть дверь, и у вас есть бесконечное количество попыток. Трудно сломаться, если вы не очень заинтересованы и просто проходите мимо, но если вы хотите попасть в этот дом (а вы, вероятно, это сделаете, иначе безопасность не потребуется), вы войдете.

Другое дело, что люди часто забывают упомянуть, чего они хотят достичь. Безопасность включает в себя три знаменитых компонента, называемых CIA, а именно конфиденциальность, целостность и доступность. Для вас важна конфиденциальность передаваемых вами данных или важна их целостность (т.е. вы уверены, что отправленные данные исходят от того, кого вы ожидаете, а не от человека в середине)?

Чтобы сделать это конкретным в В этом случае единственное, чего вы здесь добиваетесь, - это то, что пассивный злоумышленник не может видеть, что проходит по линии. Как только ваш злоумышленник становится активным и меняет сообщения на своем маршруте, вся ваша безопасность рушится. Поэтому я бы посоветовал просто придерживаться решения, предложенного экспертами (в данном случае TLS, а не ssl, поскольку это его старая версия), и просто убедитесь, что ваш сервер его поддерживает.

редактировать:

Между прочим, SSL / TLS не может работать без сертификатов. Вся суть криптографии с открытым ключом состоит в том, что где-то должна быть хоть какая-то доверенная сторона.

С другой стороны, если вам все равно, что ваши пользователи получат сообщение «недействительный сертификат», вы можете просто создать свой собственный сертификат, что очень просто. В этом случае браузеры не доверяют вашему сертификату, однако вы можете быть уверены, что, по крайней мере, ваше общение безопасно (хорошо, в этом случае есть исключения, но все же ...)

Аргумент, что сертификаты должны быть бесплатно - это действительно с точки зрения перспективы. Я думаю, что люди, утверждающие, что это подделка / идиотизм, не знают, что нужно для того, чтобы стать центром сертификации. Эти компании инвестируют миллионы, чтобы обеспечить безопасность связи, и уверены, что они хорошо зарабатывают на продаже сертификатов. но это их работа, и они тоже заслуживают зарабатывать деньги, как и все остальные.

edit2: после комментариев

Я действительно говорю, что у вас безопасное общение. Однако вы упускаете тот момент, что с самоподписанными сертификатами вы не знаете, с кем вы разговариваете безопасно. Представьте себе темную комнату, полностью изолированную от прослушивания разговора. А теперь представьте разницу между такой комнатой со светом и без него. Если в комнате есть свет, вы действительно можете видеть, с кем разговариваете, и только выберите , чтобы поговорить с людьми, которым вы доверяете. А теперь представьте, что вы делаете то же самое в полностью темной комнате. Вы можете только надеяться, что парень, с которым вы разговариваете в этой темной комнате, всего лишь союзник, а не ваш противник. Однако вы не можете этого знать, просто надейтесь , что все в порядке. И хотя ваш разговор безопасен, никто не может подслушивать, у вас по-прежнему нет "полной" безопасности.

Если я, будучи мошенником, проведу атаку типа "злоумышленник в середине", я могу создать самоподписанный сертификат без ведома пользователя. Таким образом, преимущество использования TLS с самоподписанными сертификатами заключается в том, что у вас есть хотя бы реализация протокола corrent (и даже реализовать это далеко не просто). Более того, вы можете избежать неприятных предупреждений, посоветовав пользователям один раз доверять сертификату вручную. Однако это возможно только в том случае, если у вас относительно небольшая группа постоянных посетителей, для общедоступного веб-сайта это не решение.

Таким образом, преимущество использования TLS с самоподписанными сертификатами заключается в том, что у вас есть хотя бы реализация протокола corrent (и даже реализовать это далеко не просто). Более того, вы можете избежать неприятных предупреждений, посоветовав пользователям один раз доверять сертификату вручную. Однако это возможно только в том случае, если у вас относительно небольшая группа постоянных посетителей, для общедоступного веб-сайта это не решение.

Таким образом, преимущество использования TLS с самоподписанными сертификатами заключается в том, что у вас есть хотя бы реализация протокола corrent (и даже реализовать это далеко не просто). Более того, вы можете избежать неприятных предупреждений, посоветовав пользователям один раз доверять сертификату вручную. Однако это возможно только в том случае, если у вас относительно небольшая группа постоянных посетителей, для общедоступного веб-сайта это не решение.