[php] Jak dostać adres domeny wywołującej? Opcje

[kisu]

Witam wszystkich,
Mam pytanie, jak dostać adres domeny z której ktoś wywołuje mój skrypt? Znalazłem tylko HTTP_REFER, ale to jest bieda i da sie łatwo podrobić. Stworzyłem sobie flashowy pliczek do wysyłania maili. Dane wysyła poprzez POST do skryptu (plik mail.php) na tym samym serwerze, po prostu chciałbym sprawdzić czy dane są z tego serwera, żeby tylko ten jeden plik (flashowy) mógł korzystać z opcji wysyłania (plik mail.php).

Z góry dziękuje za pomoc.

Ten post edytował kisu 19.03.2007, 00:39:48

[Daimos]

no mi sie wydaje ze tylko w ten sposob sprawdzisz
latwo da sie podrobic? hmmm no niewiem
w kazdym razie jak chcesz odwolywac sie do pliku tylko Ty
mozesz przesylac i sprawdzac haslo jakies

co do majstrowania przy refererze, jak ktos wysle naglowki odpowiednie to fakt
wiec mysle ze haslo przesylane metoda POST bedzie ok

Ten post edytował my salsa 19.03.2007, 00:47:23

[kisu]

Nie wyjdzie, plik swf (flash) jest wykonywany po stronie klienta, więc można przechwycić hasło. A prefabrykować takie rzeczy jak HTTP_REFER jest bardzo prosto, są do tego programy, albo można samemu pokusić się o napisanie klienta HTTP.

[Daimos]

ale mozna by to troche zakrecic
po pierwsze, dajesz sprawdzanie referera (czym wiecej zabezpieczen tym lepiej )
nastepnie dajesz haslo przesylane metoda post
dla zmyly dajesz haslo GET
jakies ID unikalne?
jezeli sie powtorzy, skrypt nie ruszy no i ograniczenie do wielkosci tego ID np. akceptowalne tylko od 100-110, oraz od 165-170 itd.
no mozna kombinowac dlugo, ale szczerze mowiac ciekawi mnie tez czy jest "idealna" opcja na to

[kisu]

Po 1. HTTP_REFER tutaj nawet nie działa (po prostu jest puste)
Po 2. To swf rozpoczyna komunikację, a on nie jest dynamicznie generowany, co więcej, każdy może go zdekompilować i poznać dogłębnie zasadę działania, więc unikalny ID jest niemożliwy do uzyskania.
Po 3. zaciemnienie kodu to jest pseudobezpieczeństwo, czyli praktycznie jego brak, nie mam ochoty żeby ktokolwiek wysyłał tony spamu z mojego serwera, więc potrzebuję rzeczy "idealnej"

[Daimos]

jezeli obawiasz sie o flood to zrob np. blokade na ip, ze wiadomosc mozna wyslac co 60sek albo ile tam chcesz
ale zeby plik nie dzialal dla innych... no ja nie mam pomyslu, o flasha tylko sie otarlem w sumie

[kisu]

No ta czasowa blokada to może być rozwiązanie Ale czekam na inne pomysły, albo raczej na odpowiedź na pytanie które jest w temacie.

[kiler129]

A może prościej - nie lepiej po stronie klienta wstawić do tyego flasha tylko ramke z formularzem ? I dopuszczać wtedy tylko po http refer ?

[kisu]

A może prościej - nie lepiej po stronie klienta wstawić do tyego flasha tylko ramke z formularzem ? I dopuszczać wtedy tylko po http refer ?

Nie rozumiem zbytnio w czym to miałoby pomóc, we flashu jest formularz i jest on po stronie klienta (oczywiście klientem jest każdy użytkownik, a po stronie klienta jest dopiero jak otworzy daną stronę i przeglądarka wrzuci sobie ten plik do cache'a)