Credo di conoscere già la risposta a questo, ma volevo vedere se qualcuno avesse avuto più informazioni su questo problema. Ho eseguito il blocco dei certificati nelle applicazioni Android e iOS per renderli più sicuri contro gli attacchi man in the middle. Sono curioso, può questa stessa cosa essere fatto su un sito web che esegue le chiamate Ajax? Non sto pensando che il codice Javascript possa essere modificato durante il trasporto, qualcuno ha mai avuto esperienza con questo?Il blocco del certificato in Ajax chiama
5
A
risposta
4
Questo potrebbe interessare: http://caniuse.com/#search=HPKP. I browser moderni hanno già il supporto per il blocco della chiave pubblica.
anche grande articolo su come evitare l'uomo negli attacchi centrali (o rendendo più difficile da tirare fuori - come sembra "prevenzione" in un contesto di sicurezza ha un significato relativo): http://blog.scottlogic.com/2016/02/01/man-in-the-middle.html
E se ti senti avventuroso si può andare davvero di basso livello con un'implementazione nativa di TLS in JavaScript: https://github.com/digitalbazaar/forge/blob/master/README.md
Questo è stato molto informativo, grazie per i post. Dopo averli letti, ho fatto qualche altro test e ho scoperto che ero giunto a un'altra domanda riguardante gli attacchi MITM. Se avete qualche idea, sarebbe utile, http://stackoverflow.com/questions/36504363/securing-web-server-against-mitm-in-safari – Bobbake4