Autoryzacja curla Opcje

[tosiek]

Witam. Mam pytanie jak autoryzować curla w jakimś skrypcie ?

Chodzi mi konkretnie o to żeby tylko curl ze skryptu A mógł wejść na stronę ze skryptem B i mógł uzupełnić i wysłać formularz.

Zastanawiałem się nad jakąś autoryzacja GET (jakiś losowy ciag znaków w obu skryptach) ale czy da się poznać, podpatrzeć z jakim adresem łączy się curl ?

dla przykładu: tajny_kod=53sd7fs54fsd453dsf56s4fsfsd56f

[PHP] pobierz, plaintext 
<?php
$ch = curl_init();
curl_setopt($ch, CURLOPT_URL, 'http://example.com/skrypt2.php?tajny_kod=53sd7fs54fsd453dsf56s4fsfsd56f');
curl_exec($ch);
curl_close($ch);
?>
[PHP] pobierz, plaintext 

skrypt do logowania:

[PHP] pobierz, plaintext 
<?php
if($_GET["tajny_kod"] == "53sd7fs54fsd453dsf56s4fsfsd56f")
{
 //skrypt logowania + formularz
}
else
{
echo "Brak prostej autoryzacji";
}
?>
[PHP] pobierz, plaintext 

Czy jest jakieś inne rozwiązanie, czy da się podpatrzeć ten kod w curlu ? Czy jest jakiś inny sposób ?
(wiem że muzę to prostackie rozwiązanie, ale jeśli nie wyświetlę $ch top nie da się chyba poznać adresu)

Ten post edytował tosiek 27.06.2009, 09:37:35

[zegarek84]

Zastanawiałem się nad jakąś autoryzacja GET (jakiś losowy ciag znaków w obu skryptach) ale czy da się poznać, podpatrzeć z jakim adresem łączy się curl ?

przecież to Ty ustalasz z jakim adresem łączy się curl - napisz że jaką prostą funkcję lub klasę dla kurla gdzie parametrem będzie co najmniej adres z jakim ma się łączyć i gotowe

[tosiek]

wiem, ale adres będzie znany publicznie i potrzebuję coś co nie dopuście ciekawskich aby tylko curl się mógł łączyć

[erix]

(wiem że muzę to prostackie rozwiązanie, ale jeśli nie wyświetlę $ch top nie da się chyba poznać adresu)

Stwórz jakiś algorytm, który wygeneruje token o takiej samej wartości w obu skryptach.

Albo np. negocjacja klucza, albo jakiś token bazujący na czasie żądania.

[zegarek84]

wiem, ale adres będzie znany publicznie i potrzebuję coś co nie dopuście ciekawskich aby tylko curl się mógł łączyć

przecież nie musisz publicznie wszystko pokazywać - zresztą głownie curl słuzy do łączenia się z innymi domenami - możesz jakąś funkcją albo zniekszałcić parametry get, albo po prostu tylko pod innym hostem - a jesli to ma być dla wąskiej grupy urzytkowników to logowanie do strony curla jeszcze dołuż - dokladnie nie wiem o co Ci chodzi - rozwiązanie poprostu dostosowywać trzeba do potrzeb

osobiście curl o tyle mi się podoba że umożliwia mi i kilku znajomym grę na jednym koncie w tym samym czasie - a że czasu nie mamy to na wzajem się zastępujemy i w tym samym czasie jesteśmy zalogowani bo takie było założenie - ale nikt z zewnątrz nawet jeśli widział by adres na stronę nie wejdzie gdyż ona ma zapamiętane logowanie tylko dla kilku komputerów gdzie żywotność się przedłuża tylko jeśli się przegląda daną stronę....

a pozatym jesli chcesz parsować jakąś stronę to dla większej elastyczności porzuć przeszukiwanie strony na bazie wyrażeń regularnych a oprzyj to o DOM - świetne narzędzie

ogólnie zabawa curlem o tyle też może się przydać że dodatkowo można szukać kolejnych metod prostych zabezpieczeń przed laikami - czyli jednym słowem jeśli coś dajemy publicznie w sieci to tego całkiem nie da się ukryć przed każdym lub przed zczytywaniem treści przez roboty - jednak poznając mechanizmy proste roboty nie mają szans

[edit]

a jesli to ma być tylko autoryzacja między skryptami to dadaj jakiś dodatkowy parametr jaki ma wystąpić i możesz go przesłać postem - lub jakiś zakodowany mały ale malusieńki pliczek binarny jako klucz - wszystko zależy od potrzeb i siły zabezpieczenia

ogólnie możesz też na skryptach zrobić wymóg dla każdej następnej strony referera oprócz strony głównej - przy czym dla dodatkowego zabezpieczenia to porównać referera z hostem na którym skrypt jest wykonywany - w ten sposób nawet przy bezpośrednim skopiowaniu adresu i wklejeniu w przeglądarkę nie wejdzie się na inną stronę nie wchodząc w pierw na stronę główną - dalej można przeglądać tylko jesli się przeglądało stronę z danego serwera - ogólnie pomysłów na zabezpieczenie można by wymyslać multum

Ten post edytował zegarek84 27.06.2009, 20:17:36

[tosiek]

jednak zrobiłem swoja prosta metodą:

[PHP] pobierz, plaintext 
<?php
include realpath(dirname(__FILE__) . "/" . "integratus/config.php");
if($_GET["tajny_kod"] != $tajny_hashcode || empty($_GET["tajny_kod"]))
{
?>
[PHP] pobierz, plaintext 

i ten sam plik config.php jest przy curlu i curl łączy się z tym tajnym kodem

[PHP] pobierz, plaintext 
<?php
$url = $integratus_forum_login . "?tajny_kod=" . $tajny_hashcode;
 
$ch = curl_init();
curl_setopt($ch, CURLOPT_URL, $url);
?>
[PHP] pobierz, plaintext