【发布时间】:2011-10-08 19:39:45
【问题描述】:
Adobe FLEX 4 对象从网页加载并在浏览器中运行。使用 SSL over HTTP (HTTPS) 和来自有效证书颁发机构的安全证书来保护浏览器和服务器之间的连接。
FLEX 代码能否读取安全证书信息并检索诸如证书颁发给谁、何时有效以及颁发给哪个域等信息?
【问题讨论】:
-
我不知道;为什么要/需要在 Flex 中执行此操作?我什至不会通过 HTML 或 JavaScript 获得这些信息。
-
我想这是因为他想向用户显示一些内容,让他们知道他们处于安全连接状态,可能是在不需要 SSL 但建议使用 GMAIL 的应用程序中?
-
在这篇文章中有一个答案:stackoverflow.com/questions/2402121/…,它告诉你如何使用名为 Forge 的 JavaScript/Python 工具来做到这一点。您可以使用 ExternalInterface 来访问它。
-
中间人攻击可能会检查甚至更改与 Web 浏览器之间的所有通信。即使使用 HTTPS。例如,像 Fiddler 这样的免费工具可以轻松做到这一点。我希望 FLEX 组件检查安全证书的规范,以确保证书属于 FLEX 组件信任的网站/服务器。攻击者会发现以这种方式模拟安全证书非常困难。
-
@Craine 如果中间人攻击能够破坏 SSL 连接,则可以更改执行验证的原始 flex 组件以删除验证代码,或更改验证数据(字段或哈希),以便组件错误地验证攻击者的证书。也就是说,这是一种使用数字签名来验证 SWF 内容的方法,这可能会有所帮助:stackoverflow.com/questions/6335096/codesigning-swf/…
标签: apache-flex security browser certificate