Меню
Что нового?

AJAX. Защита от нежелательного доступа к API.

Rammstein

PHPClub::News
AJAX. Защита от нежелательного доступа к API.

// хотел опубликовать вчера, но сорвалось по тех. причинам

В данном посте на Zend DevZone описан способ защиты от использования ваших "сервисов для AJAX" в некорректных целях:

Хорошо, вы написали новый Web API и написали JS для вызова его из вашего кода. Проблема в том, что любой кто посмотрит исходники сможет узнать как вы используете свою "игрушку" и воспользоваться ей для своих, неизвестно каких целей. Предположим, это иногда то что вам нужно, но бывают случаи, когда вы хотите оставить свои игрушки только для себя...
Нажмите для раскрытия...
 

hermit_refined

Отшельник
помнится, был тут у нас весёлый топик на эту тему...
в данном случае - во-первых, никто не мешает запросить страницу, с которой обычно производится ajax-запрос, и распарсив значение ajaxKey, использовать его для "нежелательного доступа"; во-вторых, автор предлагает менять ключ на каждой новой странице - таким образом, если я открываю новое окно, в старом у меня всё ломается.

но главное, конечно - зачем защищаться от "Unwanted Access", так и осталось загадкой.
 

Bermuda

Новичок
Новые "технологии" -- новые дыры. Давайте, прикручивайте ajax все и каждый :)

зачем защищаться от "Unwanted Access", так и осталось загадкой
Нажмите для раскрытия...
Как зачем! Например твой API считает кубический корень. Нафига мне писать что-то свое, когда это уже реализовано другими.

Кстати, а это идея! Shared ajax! :)
 
BeGe

BeGe

Вождь Апачей, блин (c)
Bermuda есть вопрос лицензий. В Штатах этот вопрос очень критичен для разработки ПО. Если по лицензии ты не можешь использовать - значит ты не можешь это делать.
 

Bermuda

Новичок
Автор оригинала: BeGe
значит ты не можешь это делать.
Нажмите для раскрытия...
Т. е. мой http запрос просто обломится, потому как нет лицензии?

Верим в доброе, вечное, человечное?
А еще светофор нужно на зеленый свет переходить.
 
BeGe

BeGe

Вождь Апачей, блин (c)
Bermuda - не пожалуйста, вот только когда начнёшь продавать свой продукт с этим JS кодом, у тебя начнутся проблемы =).
 

ONK

Пассивист PHPСluba
Проблема надумана.

Просто запросы сгенерированные JS кодом клиента надо обрабатывать также как и любые другие внешние запросы, а не экономить на работе с сессиями, проверках авторизации и прав.
 

Santiago

Новичок
Проблема надумана.
Нажмите для раскрытия...
+1

1. Все, что приходит от клиента, нужно проверять.
2. Все, что может увидеть клиент, нужно скрывать.

Также, глупо хранить в JS значения сессионных login_status и т.п.
 
skynet80

skynet80

rundesigner.com
Автор оригинала: ONK
Просто запросы сгенерированные JS кодом клиента надо обрабатывать также как и любые другие внешние запросы, а не экономить на работе с сессиями, проверках авторизации и прав.
Нажмите для раскрытия...
+1
 
Войдите или зарегистрируйтесь для ответа.
Сверху