Меню
Что нового?

Запрос к БД без перезагрузки страницы

WMix

WMix

герр M:)ller
Партнер клуба
ksnk написал(а):
Непрерывное обновление токена, в зависимости от предыдущего? О! Сразу вижу как я еду в метро и между станциями теряется связь...
Нажмите для раскрытия...
почему непрерывное?
ksnk написал(а):
Каким образом можно правильно написать фронт ?
Нажмите для раскрытия...
JavaScript: 
ajax.post('/foo', {'a':42}).onSuccess(function(response){
  token = response.token;
});
придумай способ обновлять токен по get, если к примеру ошибка токена после запроса
 

ksnk

прохожий
Наведу, пожалуй, определенный порядок в вопросе.
Нужно от топикстартера получить ответы на некоторые вопросы. Без этих ответов фантазировать на тему защиты можно довольно долго и достаточно бессмысленно.
- Кто и каким образом видит страницу, с "которой все началось"? ту самую, на которой расположен наш сервис, выбалтывающий конфиденциальную информацию ?
- Кто будет считаться "законным" получателем секретной информации, а кто незаконным? От кого будем защищаться?

Пока складывается ощущение, что страница в открытом доступе, и любой открывший ее в броузере сразу начинает получать поток секретов. В такой картине мира ломать сервис просто не имеет смысла - он и так поломатый.

WMix написал(а):
придумай способ обновлять токен по get
Нажмите для раскрытия...
Ну это то не сложно, если у нас есть сессия и есть где хранить отправленные юзеру токены. Просто получив "не теперешний" токен можно покопаться в недолгой истории и если устойчиво детектируется пропажа связи (не получали кривых токенов процессе, не получали несвоевременных токенов и т.д.) "пропажа связи" была не долгой и признана уважительной причиной - выдать новый токен.
Но пока нужно понять, или хотя бы вообразить - а накой это вообще может понадобится.
 

max74max

Новичок
ksnk написал(а):
- Кто будет считаться "законным" получателем секретной информации, а кто незаконным? От кого будем защищаться?
Нажмите для раскрытия...
Законным будет страница index.php откуда посылается запрос.
Не законным будет всё остальное, а значит и прямое открытие файла в браузере.
Получается что конфиденциальную информацию можно смотреть только в index.php
 

Valick

Новичок
Вспоминается анекдот про маленькую чёрную птичку...
Человек не может ответить на предельно простой вопрос: зачем скрипт делает то, что он делает? ТС безнадёжен.
 

ksnk

прохожий
Вот я, к примеру, крутой хакер и написал у себя на на php file_get_contents(твой/index.php). После чего, я несложными регулярками выковыриваю токен, делаю какие-то магические телодвижения, чтобы имитировать аякс и начинаю качать твои секреты. Это простое действие делает меня законным потенциальным получателем пользы, или все таки нет? Дело в том, что броузер пользователя делает все примерно так же и отличить одно от другого на строне сервера практически невозможно.
 
WMix

WMix

герр M:)ller
Партнер клуба
ksnk написал(а):
Вот я, к примеру, крутой хакер и написал у себя на на php file_get_contents(твой/index.php). После чего, я несложными регулярками выковыриваю токен, делаю какие-то магические телодвижения, чтобы имитировать аякс и начинаю качать твои секреты. Это простое действие делает меня законным потенциальным получателем пользы, или все таки нет? Дело в том, что броузер пользователя делает все примерно так же и отличить одно от другого на строне сервера практически невозможно.
Нажмите для раскрытия...
это понятно, но во многом нужно разобраться
WMix написал(а):
и да, это не защита, (если только CSRF) а усложнение
Нажмите для раскрытия...
 
Войдите или зарегистрируйтесь для ответа.
Сверху