AJAX in https pages

[מלח השמים]

AJAX in https pages

במידה שאני משתמש ב-AJAX בדף https, האם המידע שמועבר ע"י xmlHttpRequest מאובטח?

 

[XiroX]

לא

הוא מועבר בדיוק באותה הדרך שכל קריאת HTTP אחרת נעשית

 

[pelegk2]

בוודאי שכן

אם אתה נמצא כרגע בדף HTTPS ומבצע פניה ב AJAX לדף באתר שלך גם הוא נשלח ב HTTPS, אלא כם אן ציינת לינק מפורש שכתוב בו רק HTTP במקרה כזה תזרק לך אזהרה שאתה פונה בפרוטוקול לא מבאוטח בדף שהוא כן מאוהבטח

 

[XiroX]

והתשובה היא עדין לא

AJAX אינו פרוטוקול מאובטח. אם הוא פונה לכתובת שמצפינה את המידע, אז המידע יוצפן, אך זה אינו קשור לAJAX, אלא לHTTP\S

 

[thinking8]

מה זה AJAX?

זה בסך הכל שימוש באובייקט XMLHTTP שבנו לו מעטפת ולכן אם הדף שלך הוא ב HTTP ככה גם הפניות של ה AJAX מתוך הנחה שלא שמת כתובת URL מפורשת עם HTTP וכנ"ל להפך.

 

[XiroX]

זו בדיוק הנקודה שלי

השאלה הייתה אם מידע שמועבר בAJAX הוא מאובטח, והתשובה היא לא, כי AJAX הוא בסך הכל יצירת עוד ערוץ תקשורת מול השרת. הסיבה שאני מדגיש את ה "לא" היא כי אני מבין שהשאלה היא האם להשתמש בAJAX זה תחליף לאבטחת מידע, וחשוב מאוד להדגיש שאין דבר שגוי מזה. אין קשר בין AJAX לאבטחת מידע. המידע צריך להיות מאובטח במקום אחר, ואפן הגישה אילו אינו קשור לחלק בדפדפן איתו בוחרים לתקשר

 

[thinking8]

ברור ש AJAX הוא לא תחליף לאבטחת מידע

אבל הוא תלוי בפרוטוקול שאתה משתמש בו בדף כרגע והאם אתה באובייקט עצמו מגדיר פניה ב HTTP או HTTPS

 

[מלח השמים]

תודה חברים

לאחר תשובותיכם, בדקתי בצד שרת ואכן ה-URL שמגיע לשרת מ-xmlHttpRequest שבדף https, מתחיל בסכמה https, וגם הפורט הוא הפורט שמצויין בשרת עבור https.

 

[בסג]

דיוק

אם בדף https://x.com/x.htm אתה פונה סתם לy.htm - זה יפנה בHTTPS. אם בדף http://x.com/x.htm אתה פונה סתם לy.htm - זה יפנה בHTTP. אבל! אם בדף, לא משנה איזה, תפנה ל-http://x.com/y.htm - זה יפנה בHTTP. ואם תפנה ל-https://x.com/y.htm זה יפנה בHTTPS. רק כאשר פונים ללא ציון הסכמה (וללא ציון הדומיין) זה פונה בסכמה של הדף שבו הקריאה נמצאת (כמו שזה פונה לאותו דומיין ומתייחס לאותו נתיב בשרת).

 

[כלב טיפש]

לא מדויק

אם אתה נמצא בדף https://x.com/a.htm ואתה מופנה בAJAX לדף http://x.com/y.htm אתה תקבל הודעה בדפדפן שמתריעה שהאתר מנסה לגשת לנתיב לא מאובטח מתוך דף מאובטח.

 

[בסג]

לא הבנתי ממה שכתבת במה לא דייקתי.

 

[כלב טיפש]

שכחת לציין שתקפוץ הודעה למשתמש

במקרה שהוא ניגש מדף https לדף http

 

[בסג]

וגם תקפוץ הודעה למשתמש אם אישור הSSL פג תוקף

 

[selalerer]

אתה מתכוון שבצד לקוח המידע אינו מאובטח?

 

[XiroX]

אני מתכוון

שבמקרה והשימוש ב xmlHttpRequest הוא ב HTTP אז התעבורה אינה מוצפנת ולכן אינה מאובטחת

 

[selalerer]

אז אם משתמשים ב-https התשובה היא כן.