Меню
Что нового?

Скрипт для принятия данных из проги

Bosha

Новичок
Скрипт для принятия данных из проги

У меня такая проблема
Есть программа под винду, которая опционально
должна предлагать людям регистрироваться. Регистрационную форму нужно положить в базу на сайте
программы.
Сейчас программа отсылает постом на скрипт данные которые тот обрабатывает и кладет в базу.

Проблема заключается в том, как защитить этот скрипт от доступа всех кроме программы.
Спасибо
 

Tor

Новичок
никак
что бы ты не пытался секретное передавать из программы на сайт, все можно подслушать/подсмотреть
 

DimbIch

Новичок
посылай какой нибудь код уникальный потом проверяй его в скрипте...
 
Фанат

Фанат

oncle terrible
Команда форума
Bosha
ну, к примеру, передавать из проги пароль.
это самое простое.
 

DimbIch

Новичок
Tor
можно то можно...
просто можно по особому алгоритму генерировать что-то вроде серийника.. :)
и потом его проверять...
хотя опять же можно подслушать и подобрать алгоритм :)
 

Pixxxel

Новичок
Передавай программе какой-нибудь код, программой шифруй его каким нибудь алгоритмом, а потом посылай зашиврованый код PHP скрипту, и пусть он проверяет правильно ли программа зашифровала его. Шифровать можешь стандартным алгоритмом с неизвестным никому ключом
 

Tor

Новичок
Передавай программе какой-нибудь код, программой шифруй его каким нибудь алгоритмом, а потом посылай зашиврованый код PHP скрипту, и пусть он проверяет правильно ли программа зашифровала его. Шифровать можешь стандартным алгоритмом с неизвестным никому ключом
Нажмите для раскрытия...
как все хитро
осталось в логах сквида посмотреть запросы и получить ответы
с ПОСТом чуть сложнее, но тоже не ахти как сложно
 

DimbIch

Новичок
Tor
можно тогда установить SSL соединение :)
и передавать данные через него :)
 

Pixxxel

Новичок
Автор оригинала: Tor
как все хитро
осталось в логах сквида посмотреть запросы и получить ответы
с ПОСТом чуть сложнее, но тоже не ахти как сложно
Нажмите для раскрытия...
И что дадут логи? Посланный зашифрованый код после проверки будет удаляться и его уже нельзя будет заюзать. Коды каждый раз рандомом генерить
 

Tor

Новичок
DimbIch
слышал звон, да не знаю, где он

SSL не способ аутентификации
 

DimbIch

Новичок
Pixxxel
логи могут дать данные которые были переданые зашифрованые...
после их анализа ОЧЕНЬ долгого можно найти алгоритм :)

-~{}~ 15.04.05 13:26:

Tor
а причем тут способ аутентификации ???
я тебе говорил как данные зашифровать чтобы их не "подслушать"
по твоему если будет - так ничего нельзя никуда передавать - везде можно подслушать подобрать и тд....
 

Tor

Новичок
И что дадут логи? Посланный зашифрованый код после проверки будет удаляться и его уже нельзя будет заюзать. Коды каждый раз рандомом генерить
Нажмите для раскрытия...
хоть автору уже давно не интересен этот тред, судя по всему, давай повторим что мы хотели сделать

мы хотели убедиться, что данные на сайт пришли от программы, а не от curl, например
все тут предлагают посылать с запросом супер секретный пароль
что мешает получить весь запрос?
 

DimbIch

Новичок
Tor
ничего не мешает....абсолюнто.. и от этого не уйти...
но принцип в том что программа принимающая этот супер секретный пароль будет проверять его на валидность ....
и это хоть как то ограничит доступ других программ...
 

Tor

Новичок
но принцип в том что программа принимающая этот супер секретный пароль будет проверять его на валидность
Нажмите для раскрытия...
а что его проверять, я ведь скопирую его один в один из логов свида
 

Pixxxel

Новичок
Так программа будет шифровать код секретным ключом, и что толку что ты получишь весь запрос? Может мы друг друга не понимаем, я объясню точнее что я хотел сказать:

1) Программа запрашивает у скрипта код
2) Скрипт шифрует код "ключом" заносит код в базу
3) Программа шифрует код "ключом" и передает его вместе с остальными данными
4) Скрип проыеряет есть ли такой зашифрованый код в базе
5) Если нет такого кода - ошибка
6) Если есть такой код - все ок, и удаляет его из базы
 

Tor

Новичок
между первой и второй, промеж.. ой, что это я :)
между первой и второй позицией что куда передается?
 

Bosha

Новичок
Спасибо всем

Я тут подумал, что можно например шифровать время в программе своим ключем и пересылать запрос, а скрипт
расшифровывает это и смотрит что бы время было не более чем на 10 сек меньше к примеру. Так можно защититься от тех кто может перехватить на проксе запрос с кодом, он уже будет не действителен.
 

Pixxxel

Новичок
Сори, между 1 и 2 скрипт посылает проге незашифрованый код
 

Pixxxel

Новичок
Bosha
Да, конечно, коды на которые не пришел ответ в достаточно короткое время удаляются из базы
 
Войдите или зарегистрируйтесь для ответа.
Сверху