如何检查安全服务的安全级别？

Question

我的客户安全算法需要一个随机预言.我使用的是HTTPS网络服务，https://www.random.org/integers/?num=1&min=0&max=255&col=1&base=16&format=plain&rnd=new。

..。但是很多人注意到

在公共互联网上传输的随机数在大多数情况下都不是加密安全的。

..。因此，问题是：

• 描述的体系结构是安全的？需要使用HTTPS POST而不是GET？需要在响应中添加一些加密层吗？
• 有一种方法可以检查/量化“有多安全”，以与其他解决方案进行比较？

上下文

它不是“那么简单”，我真的需要一个webservice，这就像一个随机的甲骨文，必须是一个外部设备输入(甲骨文).我不能使用本地客户端算法(例如。局部CSPRNG)。问题的焦点是安全通信协议，对于非常简单的webservice (简单和快速的RPC)。

PS:这里是客户端服务请求的javascript片段示例：

xmlHttp.open("GET", url, true)，其中url是上面的random.org链接。

Answer 1

大多数系统都提供了一个密码安全伪随机数发生器 (CPRNG)，请使用它。

根据上下文更新，使用HTTPS并锁定证书，这样您就知道没有MITM，并且您正在与正确的站点联系。请注意，您仍然必须信任该网站。