 [AJAX] Zabezpieczenie przed wywołaniem spoza aplikacji |
| [AJAX] Zabezpieczenie przed wywołaniem spoza aplikacji |
Post
#1
|
|
|
Grupa: Zarejestrowani Postów: 69 Pomógł: 0 Dołączył: 26.01.2006 Ostrzeżenie: (0%) 
 |
Witam!
Zrobilem sobie calkiem fajna aplikacje na bazie Ajaxa i wszystko pieknie dziala. Zaczalem tez na sile starac sie zepsuc aplikacje od strony uzytkownika, zanim wystawie ja publicznie (IMG:http://forum.php.pl/style_emoticons/default/smile.gif) Jedna rzecz (w sumie kosmetyczna) - czy mozna w jakis sposob zabezpieczyc strony wywolywane za pomoca ajaxa ? Tzn chodzi o to ze np. majac pliki ktore za jego pomoca sa pobierane (np. zanjduja sie w katalogu ax/skrypt.php), zostana wywolane bezposrednio z pzregladarki produkuja dosc nie-ladny stzrep HTML'a lub tekstu. Da sie to w jakis sposob zabezpieczyc ? Od strony serwera nie bardzo chyba jest taka mozliwosc, bo żądanie przychodzi z IP klienta. Od strony aplikacji - hm jedyne co mi przyszlo do glowy to inicjowac zmienna sesyjna po wejsciu na strone w sposob "normalny" i wypluwac output w zaleznosci czy jest ona juz ustawiona czy nie... Jakies inne roziwzania ? czy moze sobie odpuscic ? |
 |
 
|
 |
|
Post
#2
|
|
|
Grupa: Zarejestrowani Postów: 53 Pomógł: 1 Dołączył: 28.09.2007 Skąd: Gdynia Ostrzeżenie: (0%)
|
Hm, baza ma być dostępna bez logowania. Takie jest założenie. To jest formularz dla klienta który nie musi się jeszcze w tym momencie logować. Baza uzupełnia dane, które klient wpisuje. Dane są ogólnie jawne, ale nie chcę wystawiać interfejsu do całej tabeli, żeby sobie ktoś tego zwyczajnie nie skopiował. Albo nie podłączył się do tego swoim skryptem.
Powiedzmy że masz bazę "książka telefoniczna". Każdy klient, bez logowania może sobie sprawdzić numer. Ale nie chcemy, żeby ktokolwiek zgrywał sobie całą książkę, ani też nie chcemy żeby ktoś zrobił sobie taką książkę na swojej stronie, używając naszej bazy. Jeśli mam zabezpieczenie sesją, to tak długo dopóki ktoś nie złamie mechanizmu zabezpieczenia sesji php i nie przejmie sesji - nie jest w stanie nic wyciągnąć zewnętrznym skryptem. W wielu poważnych aplikacjach webowych znalazłem dziury pozwalające na podkradanie danych z niepublicznych baz. Niektóre były tak przyjazne, że pozwalały na proste zapytanie via get zwracając xml. W mojej aplikacji ten numer nie przejdzie. |
|
|
|
nu_moon [AJAX] Zabezpieczenie przed wywołaniem spoza aplikacji 8.04.2008, 09:16:35 
nospor Pytanie podstawowe: po co? Co cie obchodzi ze jaki... 8.04.2008, 09:28:18 Sabistik Tak jak napisał nospor nie ma po co. Możesz jednak... 8.04.2008, 09:37:19 piotrf Metoda isXmlHttpRequest sprawdza czy "żądanie... 6.05.2008, 20:17:35 pp-layouts Trochę nie w czas, ale jakby kto do wątku wrócił..... 6.09.2009, 01:40:07 sniffer32 a co się stanie jeżeli odpalę główny skrypt przez ... 6.09.2009, 09:28:08 Istalacar pp-layouts: zamiast bawić się w wysyłanie id sesji... 6.09.2009, 13:43:50 pp-layouts Mistrzu, proszę Cię, powiedz mi, jak to złamać? Je... 7.09.2009, 23:07:06 nospor CytatProste do bólu, a na pytanie "po co zabe... 8.09.2009, 06:09:39 nospor no i ok, mozna dodac te proste i banalne zabezpiec... 9.09.2009, 10:20:49 
seth-kk Cytat(nospor @ 9.09.2009, 11:20:49 ) ... 9.09.2009, 10:50:59 nospor Cytatjak dla mnie takie zabezpieczenia maja troche... 9.09.2009, 10:53:31 seth-kk hmm jednorazowy klucz powinien wydluzyc te przyslo... 9.09.2009, 11:04:40  |
|
Aktualny czas: 7.10.2025 - 07:08 |
