Joh*_*n U 5 c security authentication embedded http
我正在开展一个稍微深奥的项目,我们需要在小型/慢速嵌入式微型(无操作系统)中实现一些基本身份验证.该设备通过其串行端口提供几个网页,然后通过我们无法控制的一些硬件将其喷射到IP网络上.
服务器端的代码,比如它(想想NWEB上饥饿疗法),发生在HTTP GET/POST请求,并吐出了网页和相应地改变其设置.
我们需要某种方式来验证用户登录/会话,以便我们不允许人们查看数据或更改他们不应该的设置.
该设备不是直接暴露于互联网,也不是100%坚不可摧的严重黑客行为(网络安全/分离是客户的问题*),安全要求更多的是保持较低级别不接触闪烁灯;)
由于缺乏空间/处理能力(假设我们有大约2k的代码空间而且没有多少MHz),我们无法实现像SSL那样的东西,但是至少比bog标准HTTP访问控制更好一点会很好.
我们可以处理GET,POST和设置/读取cookie数据.我们的微软确实拥有的一件事是一个体面的加密标准硬件随机数发生器,应该是任何帮助.
如果您只想防止访问:只要有 GET 请求,就查找密码的 cookie。如果未设置 cookie,则发回一个 HTML 登录表单,将密码 POST 到服务器。如果服务器获取带有正确密码的 POST 数据,则发送回一个“已登录正常”页面,该页面将 COOKIE 设置为密码。然后任何登录的人(显然使用正确的密码)都将在所有未来的 GET 请求中设置 cookie。从未登录过的人将始终看到登录页面。您可以通过设置两个 cookie 值来“隐藏”它:随机数以及随机数和密码的 XOR。这样客户端将无法弄清楚 cookie 中的值是什么。如果您进一步将其与客户端 IP 进行异或,客户端将无法将 cookie 复制到其他计算机。服务器始终能够撤消所有操作,并从随机数和其他 cookie 值中找出密码/IP。
如果您想要简单的加密,您可以在 javascript 中使用 XMLHTTPREQUESTS。让服务器使用简单的 puesdo 随机数生成器(或简单的 XOR 混淆或其他)加密数据,并让客户端在 javascript 中向后执行相同的操作。您可以让服务器加密除了index.html之外的每个页面,并且在index.html中您可以拥有它,以便它在javascript中XMLHTTP请求其他页面并解密它们,然后使用innerHTML或其他方式将内容放入div中。