Запрос к БД без перезагрузки страницы

WMix

герр M:)ller
Партнер клуба
Непрерывное обновление токена, в зависимости от предыдущего? О! Сразу вижу как я еду в метро и между станциями теряется связь...
почему непрерывное?
Каким образом можно правильно написать фронт ?
JavaScript:
ajax.post('/foo', {'a':42}).onSuccess(function(response){
  token = response.token;
});
придумай способ обновлять токен по get, если к примеру ошибка токена после запроса
 

ksnk

прохожий
Наведу, пожалуй, определенный порядок в вопросе.
Нужно от топикстартера получить ответы на некоторые вопросы. Без этих ответов фантазировать на тему защиты можно довольно долго и достаточно бессмысленно.
- Кто и каким образом видит страницу, с "которой все началось"? ту самую, на которой расположен наш сервис, выбалтывающий конфиденциальную информацию ?
- Кто будет считаться "законным" получателем секретной информации, а кто незаконным? От кого будем защищаться?

Пока складывается ощущение, что страница в открытом доступе, и любой открывший ее в броузере сразу начинает получать поток секретов. В такой картине мира ломать сервис просто не имеет смысла - он и так поломатый.

придумай способ обновлять токен по get
Ну это то не сложно, если у нас есть сессия и есть где хранить отправленные юзеру токены. Просто получив "не теперешний" токен можно покопаться в недолгой истории и если устойчиво детектируется пропажа связи (не получали кривых токенов процессе, не получали несвоевременных токенов и т.д.) "пропажа связи" была не долгой и признана уважительной причиной - выдать новый токен.
Но пока нужно понять, или хотя бы вообразить - а накой это вообще может понадобится.
 

max74max

Новичок
- Кто будет считаться "законным" получателем секретной информации, а кто незаконным? От кого будем защищаться?
Законным будет страница index.php откуда посылается запрос.
Не законным будет всё остальное, а значит и прямое открытие файла в браузере.
Получается что конфиденциальную информацию можно смотреть только в index.php
 

Valick

Новичок
Вспоминается анекдот про маленькую чёрную птичку...
Человек не может ответить на предельно простой вопрос: зачем скрипт делает то, что он делает? ТС безнадёжен.
 

ksnk

прохожий
Вот я, к примеру, крутой хакер и написал у себя на на php file_get_contents(твой/index.php). После чего, я несложными регулярками выковыриваю токен, делаю какие-то магические телодвижения, чтобы имитировать аякс и начинаю качать твои секреты. Это простое действие делает меня законным потенциальным получателем пользы, или все таки нет? Дело в том, что броузер пользователя делает все примерно так же и отличить одно от другого на строне сервера практически невозможно.
 

WMix

герр M:)ller
Партнер клуба
Вот я, к примеру, крутой хакер и написал у себя на на php file_get_contents(твой/index.php). После чего, я несложными регулярками выковыриваю токен, делаю какие-то магические телодвижения, чтобы имитировать аякс и начинаю качать твои секреты. Это простое действие делает меня законным потенциальным получателем пользы, или все таки нет? Дело в том, что броузер пользователя делает все примерно так же и отличить одно от другого на строне сервера практически невозможно.
это понятно, но во многом нужно разобраться
и да, это не защита, (если только CSRF) а усложнение
 
Сверху