но при этом надо будет как-то включить в этот параметр время или любую другую переменную,
иначе злодеи просто скопируют хэш и всё, а расшифровывать хэш обратно, по-моему не благодарное дело

Передавать да, но Вы думаете, что если кто-то будет обращаться к тому скрипту с AJAX-запросом назовёт вызывающий скрипт точно так же, как и автор? мне слабо вериться ;) Хорошо спрятанная вещь - та, что лежит у всех навиду, но не очевидная всем.

bars80080, обсуждать мелкие недостатки принципиально несовершенной защиты - моветон.
Нет смысла вешать на дверь второй замок, если рядом есть черный ход без замка вообще.

Вроде бы, уже давно в этой теме пришли к выводу - кому надо, разберет и сэмулирует все ваши хеши, интервалы и прочую чепуху.
А "от дурака" поможет любой из предложенных способов с одинаковой эффективностью.

Добавлено @ 14:56
Блин, на этом же самом форуме, в разделе "PHP: Сеть" появится через два дня тема "помогите скачать курлом инфу, договоренность с сайтом есть" и все ему старательно расскажут, как обойти все защиты. О чем тут вообще говорить?

И это все при том, что достаточной защитой от дурака является сам ajax. Юзер не видит урл запроса и не знает, откуда брать инфу.
Если же он достаточно продвинут для того, чтобы этут урл узнать, то уверяю вас - все эти потуги с генерацией кодовых слов его не остановят.

Это сообщение отредактировал(а) Feldmarschall - 12.12.2007, 15:03

  Feldmarschall, вообще, считаю нужным запретить обсуждение написания грабберов и иже с ними. Кому нужно написать и сам напишет.

Feldmarschall подожди...

защите от дурака много не надо, но мы вроде как условились, что если формировать ключ на серверной стороне и на серверной же его расшифровывать, то злоумышленнику баста, пока он не залезет на сам сервер.

согласен, что он может найти закон образования ключей, но на это ему потребуются нехилые ресурсы,
насколько я помню такие системы признаны раз и навсегда надёжными, если обновление системы шифрования будет происходить быстрее, чем её анализ

если нет, то поправь, ибо вопрос серьёзный с точки зрения безопасности вообще, а не этого конкретного случая

Fally вопросы безопасности, самые важные вопросы в нашем деле

Это сообщение отредактировал(а) bars80080 - 12.12.2007, 15:10

Нет, не условились =)
Ключевую аксиому сказал BuShaRt на первой странице: все что "знает" JS модуль, может узнать пользователь
Больше к этому добавить нечего.

Не знаю, как ключ, но информацию-то ты должен показать юзеру незашифрованную. Значит, ты должен передать клиенту ключ, хе-хе.


Ответ на этот вопрос тоже звучит просто и однозначно: Всё, что ты выложил в сеть в свободный доступ, можно скачать.

Сдается мне, к безопасности вопрос скачивания не имеет отношения. Безопасность - это несанкционированный доступ к коду или данным. А здесь все санкционировано - ты сам дал возможность пользователю, анонимному или зарегистрированному, скачивать, просматривать инфу. 
Попытки это запретить - это не борьба за безопасность, а борьба с объективными законами технологии.


Это сообщение отредактировал(а) Feldmarschall - 12.12.2007, 15:16

нет, ясное дело, что запрос лежит в открытом виде, фишка в том, чтобы этим запросом не могли воспользоваться спустя две минуты, он уже будет ошибочным, а какой нужен новый, знает только сервер, и чтобы его получить, придётся идти на легальную страницу, а до неё добраться не дело одной секунды (конечно, если правильно организовать, да и вообще можно в дебри засадить)

Добавлено через 7 минут и 37 секунд

господин фельдмаршал, я не силён в вопросах передачи ключей, но это же школьный вопрос: шифрование одним, дешифрование другим

конечно не к этой теме, но всё же

Я, пожалуй, последую совету Fally, и не буду углубляться в подробности

fally просто ляпнул что-то не подумав, всё равно, что использовать в качестве пароля "кактус"

долой погоны! я теперь фельдмаршал!

это пожалуйста. хоть генералиссимус.

/чёрт возьми, наверное уже пятый пост на одном месте/
чувак, я хотел просто, чтобы ты прочитал, а не по верхушкам прошёлся
проблема ведь для меня важная, а не для других, я не вижу уязвимости этого метода,

а ты:

докажи, и я резко буду думать над изменением системы

всегда готов признать ошибку

Это сообщение отредактировал(а) bars80080 - 12.12.2007, 17:06

Твоя админка здесь не при чем.
Чтобы войти в твою админку, нужен пароль.
Можно обсуждать  достоинства и недостатки твоей системы, но, наверное, в другом топике, поскольку к скачиванию сайта она не имеет отношения.

в смысле, к скачиванию сайта?
я насколько понял, у чувака в одном месте в js присутствует запрос www.server.ru/req_page.php
или location.href = 'www.server.ru/req_page.php'
и он не хочет, чтобы она открывалась на любой запрос, а только с этого места

не скачает же злодей весь сайт со всеми .php и т.п. (ибо от этого в первую очередь и защищаются)?

здесь роль пароля отводится именно его запросу, а запрос, вида:
www.server.ru/req_page.php?pass=zakodirivannoeslovo
поставляет сам сервер

что тут можно скачать?

Fally, так если генерить хэш обращающегося скрипта — получится, что в том же Firebug хакер сможет увидеть этот хэш и тоже отправлять его со своего PHP-скрипта.

AzuManga, а пароль, по методу bars80080 - не увидит?

Добавлено через 2 минуты и 45 секунд

О каком "месте" идет речь? Можно поконкретнее?


не скачает. защищаются не от этого, а от скачивания информации.


AzuManga тебе только что ответил - Firebug и прочее.

Добавлено через 11 минут и 49 секунд

Да какой там пароль?!
В случае авторизации пользователь знает пароль, и отправляет его на сервер.
Если не знать пароля - то и не войдешь.

А в данном случае сервер сам отправляет пользователю пароль! Осталось только взять его и ввести.
Ну неужели, блин, это непонятно?