- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
В 2023 году Одноклассники пресекли более 9 млн подозрительных входов в учетные записи
И выявили более 7 млн подозрительных пользователей
Оксана Мамчуева
Тренды маркетинга в 2024 году: мобильные продажи, углубленная аналитика и ИИ
Экспертная оценка Адмитад
Оксана Мамчуева
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
На одном сервере есть 2 скрипта.
Сначала вызывается скрипт А и ждёт.
Потом вызывается скрипт Б, который получает данные и должен передать их скрипту А.
Так вот, каким максимально безопасным способом можно передать эти данные?
я исхожу из самого критического случая, что именно в этот момент вламывается хакер и всё забирает.
Поэтому база данных и файлы как бы отпадают.
Поэтому оперативная память была бы идеальным вариантом, но разве это возможно?
Другие варианты?
для пояснений: оба запроса делает один и тот же пользователь к одному и тому же домену. Один раз JSONP, другой раз авторизация на сайте.
Или я «дурью маюсь»?
Возможно - мемкеш. Вот только если кто-то взломает сервер - все-равно получит данные. Идеальный вариант - зашифрованный файл, но я думаю это перебор сильный.
Можно используя POST запрос. Через файлы и БД, по мне так весьма безопасно можно если MySQL - то AES_ENCRYPT(string,key_string) AES_DECRYPT(string,key_string)... ну и в самом PHP целый набор ф-ий Mcrypt_*****...
Если брать в рассмотрение хакеров, то ни один из способов не является гарантированным, иными словами всегда можнотпридумать способ получить данные в очень защищенном протоколе. По существу: если второй скрипт дергается из первого, то он может отдавать контент как обычная страница, а авторизацию можно самому налепить любую. Мемкеш может оказаться еще хуже по безопасности, чем файл
Можно используя POST запрос.
оба скрипта уже работают. POST не поможет
AES_CRYPT
уже используется для долговременного хранения данных(пароль есть только во время исполнения скрипта). в данном случае не подходит, т.к. пароль будет стоять открытым текстом в скрипте
Если брать в рассмотрение хакеров,
согласен. я исхожу из того, что хакеры смогли достать скрипты и базу, но долговременного доступа у них нет. вот и изголяюсь :)
если второй скрипт дергается из первого
в том то и проблема, что они работают параллельно.
если ничего умного в голову не придёт, придётся сокеты лепить :)
Мемкеш может оказаться еще хуже по безопасности, чем файл
почему?
Если это делает один и тот же пользователь на одном и том же сервере, в чем проблема использовать сессии ?
Отработал, записал данные в сессию, перекинул сессию другому скрипту, тот из сессии взял данные.
Поэтому база данных и файлы как бы отпадают.
Куда он там у вас вламывается и что забирает ? Если он вламывается, то ему уже пофиг на ваши скрипты, он и так заберет все что угодно.
в чем проблема использовать сессии ?
а откуда у них общая сессия? в то время, как оба скрипта уже работают, ни один ответ(с session_id) пользователю ещё не вернулся
он и так заберет все что угодно.
да и пусть забирает. база данных зашифрована, ключей в скриптах нет, они только иногда в оперативной памяти.
скрипты можно изменить, но и сейфы тоже взламывают.
данном случае не подходит, т.к. пароль будет стоять открытым текстом в скрипте
Так зачем же его ставить открытым текстом? взять что нить
пароль на один раз, и поймать его можно только еси иметь дамп всего происходящего на сервере.... ну если кулц хакер сможет это сделать, то защиты нет, ну только обусификация+обусификация+обусификация, с целью тянуть как можно больше время... но ИМХО, даже такой маленький способ защиты думаю осложнит жизнь хакеру, и ему гораздо удобнее будет просто всучить троян пользователю...А зачем именно передавать данные из скрипта в скрипт? не выгоднее ли для этого использовать один скрипт? или если скрипт А, выполняет роль "наблюдателя за пользователем" то в момент, когда скрипт Б передавал бы данные, он отсылает свое "согласие" скрипту Б (возможно в месте с доп. инструкциями, кусками кода), и скрипт Б выполняет тот кусок работы, который Вы изначально возложили на скрипт А. ИМХО если вам не нравится вариант с шифрованием данных, то менять архитектуру надо...
я опишу, что происходит, может это поможет.
итак. пользователю надо передать сайту А(не моему), на котором он находится, определённую информацию. эта информация хранится у меня на сервере в зашифрованном с помощью пароля пользователя виде.
На сайте А стоит ссылка на меня. При нажатии происходят 2 вещи. Отправляется JSONP запрос к моему серверу и пользователь переходит на мой сайт.
Пользователь задаёт свои логин+пароль, информация из базы данных расшивровывается, передаётся в другой скрипт(!!!), из неё формируется JSONP ответ и все довольны. и вот это - !!! - меня сейчас и волнует
в скрипте А открывайте сокет на прослушку, скриптом Б кидайте в этот сокет данные, после того как скрипт А получил данные, сокет закрывается
П.С. на обычном хостинге функции для рабты с сокетами могут и не работать.
П.П.С. Здесь можно почитать о сокетах