Здравствуйте, форумчане!

Наверняка кто-то из вас уже решал подобную задачу.

Есть страница, которая генерируется PHP и содержит JS с AJAX-запросом к некоему PHP-скрипту на сервере.

Можно ли как-нибудь запретить вызов этого некоего скрипта с других сайтов? То есть, чтобы никто не смог дергать с других хостов этот некий скрипт, получать его результаты работы.

Или ввести какой-нибудь шифр, который предотвращал бы вызов скрипта с других хостов...

Спасибо!

Это сообщение отредактировал(а) AzuManga - 11.12.2007, 18:41

самое простое?
формировать запрос с get параметром сформированному по известному только этому скрипту закону
а у скрипта проверка на правильность этого запроса 

bars80080, спасибо за быстрый ответ, но я не очень понимаю, что мешает другим людям скачать себе JS с AJAX-запросом, залить к себе на сервак и использовать?

Нет, разумеется, нельзя.
И при чем здесь вызов с сайтов? К твоей странице обращается браузер. Запретить вызов из браузера можно или только всем, или никому.
Нужно хорошо понимать основы функционирования веб-сайтов, чтобы такие фантазии в голову не приходили

Мне пока сдается, что обфускатор JS-кода и небольшое кодирование выдачи запроса могут помочь...

А что мешает обрабатывать AJAX-запрос на вашем "серваке"?
Я бы его проверял в первую очередь, при поучении

в массиве $_SERVER была переменная которая отвечала за адрес, с которого вызывается текущий скрипт. это не 100% защита но уже что то.

генерируем страницу уже с переменной, что они тогда сольют? морально устаревшую переменную?

Нереализуемо. Можно безконечно придумывать все более и более бредовые идеи, но все равно, все что "знает" JS модуль, может узнать пользователь и не какие "тайные" шифры не помогут...

Единственно более верное решение, это проверять url, как защита от совсем ламеров, нежелающих учиться, а способных только копи-пастить код и делиться с которыми действительно жалко. Если человек действительно знает PHP и JS, тогда проблем у него не возникнет "обойти" систему, но лично мне не жалко для таких людей своих работ.

Кстати, в дополнение к фильтру по url, можно еще копирайты в комментах кинуть т.к. врядли кто их будет убирать. Получиться, что еще и проPRесь 

Мне кажется, что после последнего сообщения топикстартера обсуждать стало нечего. 
Только мусор будет. Все-таки, понятия браузер, хост, запрос основательно перемешались в головах у большинства советчиков. В отличие от них, автор явно понял, что стопроцентной защиты быть не может, и решил сделать простенькую, от совсем ламеров. Я согласен, что это вполне адекватное решение. Те же, кто продолжуют обсуждать принципиальную возможность такой защиты, просто не представляют себе схему взаимодействия браузера с сервером.

bars80080, попробуй распиши на бумаге последовательность запросов. Станет понятнее.

Вообще, если понимать, что AJAX запрос ничем не отличается от обычного (кроме того, что скрыт от наивного юзера), то большинство вопросов снимется. Другое дело, что понять это, как выясняется, многим проблематично.

BuShaRt, ещё HTTP надо знать, да. причем JS, как раз - не обязательно. Только в случае с шифрованием вывода.

Это сообщение отредактировал(а) Feldmarschall - 12.12.2007, 10:39

это ко мне?
совершенно не согласен,
что мешает нам при формировании ссылки в js приписать ей в конце значение типа ?secret=kodirivannjatarabarshchina
путём

где $perem - переменная формируемая исключительно на сервера и постоянно изменяется,
скажем она будет актуальна только в течение одной минуты, а потом устаревает,
в этом случае злодею придётся постоянно заходить на ваш сайт за этой переменной

я не говорю, что данный способ оптимальный, но он возможен и на самом деле прост

bars80080, гениально!! Большое спасибо и +1 ))

Апдейт: Хотя, может быть такая ситуация, что юзер зашел на сайт в 10:59:50, а нажал на кнопку в 11:00:30. Надо подумать, что будет в таком случае 8)

Это сообщение отредактировал(а) AzuManga - 12.12.2007, 13:36

Чтобы предотвратить дальнейшие споры.
Слово "нереализуемо" относилось к первоначальному вопросу, а не к предложенному способу защиты.

это как раз находится в пределах одной минуты   
можно увеличить и до часа

я лично применяю нечто подобное в другом случае (не с js): авторизация в админской части
пользователь авторизуется и пропускается в систему, при этом на него в БД записывается характеристика с указанием ip, даты, код какой-то (уже не помню), и его id, а поверху в сессии идёт только id. при заходе на любую страницу происходит проверка на все эти переменные, причём у клиента нет ничего, кроме id, но через час запись будет уничтожена и ему придётся заново авторизоваться, то бишь выкинет из админки

ну а вообще методы шифрования должен разрабатывать только один человек, имхо что знают двое, знают все

Генерь хеш имени скрипта, который обращается к другому, и передавай его. Если то => всё ок, если нет => выдавай ересь.
Помогает. Ересь выдавай затем, чтобы люди ломали голову, почему у них не работает как надо.

но при этом надо будет как-то включить в этот параметр время или любую другую переменную,
иначе злодеи просто скопируют хэш и всё, а расшифровывать хэш обратно, по-моему не благодарное дело

Передавать да, но Вы думаете, что если кто-то будет обращаться к тому скрипту с AJAX-запросом назовёт вызывающий скрипт точно так же, как и автор? мне слабо вериться ;) Хорошо спрятанная вещь - та, что лежит у всех навиду, но не очевидная всем.

bars80080, обсуждать мелкие недостатки принципиально несовершенной защиты - моветон.
Нет смысла вешать на дверь второй замок, если рядом есть черный ход без замка вообще.

Вроде бы, уже давно в этой теме пришли к выводу - кому надо, разберет и сэмулирует все ваши хеши, интервалы и прочую чепуху.
А "от дурака" поможет любой из предложенных способов с одинаковой эффективностью.

Добавлено @ 14:56
Блин, на этом же самом форуме, в разделе "PHP: Сеть" появится через два дня тема "помогите скачать курлом инфу, договоренность с сайтом есть" и все ему старательно расскажут, как обойти все защиты. О чем тут вообще говорить?

И это все при том, что достаточной защитой от дурака является сам ajax. Юзер не видит урл запроса и не знает, откуда брать инфу.
Если же он достаточно продвинут для того, чтобы этут урл узнать, то уверяю вас - все эти потуги с генерацией кодовых слов его не остановят.

Это сообщение отредактировал(а) Feldmarschall - 12.12.2007, 15:03

  Feldmarschall, вообще, считаю нужным запретить обсуждение написания грабберов и иже с ними. Кому нужно написать и сам напишет.

Feldmarschall подожди...

защите от дурака много не надо, но мы вроде как условились, что если формировать ключ на серверной стороне и на серверной же его расшифровывать, то злоумышленнику баста, пока он не залезет на сам сервер.

согласен, что он может найти закон образования ключей, но на это ему потребуются нехилые ресурсы,
насколько я помню такие системы признаны раз и навсегда надёжными, если обновление системы шифрования будет происходить быстрее, чем её анализ

если нет, то поправь, ибо вопрос серьёзный с точки зрения безопасности вообще, а не этого конкретного случая

Fally вопросы безопасности, самые важные вопросы в нашем деле

Это сообщение отредактировал(а) bars80080 - 12.12.2007, 15:10

Нет, не условились =)
Ключевую аксиому сказал BuShaRt на первой странице: все что "знает" JS модуль, может узнать пользователь
Больше к этому добавить нечего.

Не знаю, как ключ, но информацию-то ты должен показать юзеру незашифрованную. Значит, ты должен передать клиенту ключ, хе-хе.


Ответ на этот вопрос тоже звучит просто и однозначно: Всё, что ты выложил в сеть в свободный доступ, можно скачать.

Сдается мне, к безопасности вопрос скачивания не имеет отношения. Безопасность - это несанкционированный доступ к коду или данным. А здесь все санкционировано - ты сам дал возможность пользователю, анонимному или зарегистрированному, скачивать, просматривать инфу. 
Попытки это запретить - это не борьба за безопасность, а борьба с объективными законами технологии.


Это сообщение отредактировал(а) Feldmarschall - 12.12.2007, 15:16

нет, ясное дело, что запрос лежит в открытом виде, фишка в том, чтобы этим запросом не могли воспользоваться спустя две минуты, он уже будет ошибочным, а какой нужен новый, знает только сервер, и чтобы его получить, придётся идти на легальную страницу, а до неё добраться не дело одной секунды (конечно, если правильно организовать, да и вообще можно в дебри засадить)

Добавлено через 7 минут и 37 секунд

господин фельдмаршал, я не силён в вопросах передачи ключей, но это же школьный вопрос: шифрование одним, дешифрование другим

конечно не к этой теме, но всё же

Я, пожалуй, последую совету Fally, и не буду углубляться в подробности

fally просто ляпнул что-то не подумав, всё равно, что использовать в качестве пароля "кактус"

долой погоны! я теперь фельдмаршал!

это пожалуйста. хоть генералиссимус.

/чёрт возьми, наверное уже пятый пост на одном месте/
чувак, я хотел просто, чтобы ты прочитал, а не по верхушкам прошёлся
проблема ведь для меня важная, а не для других, я не вижу уязвимости этого метода,

а ты:

докажи, и я резко буду думать над изменением системы

всегда готов признать ошибку

Это сообщение отредактировал(а) bars80080 - 12.12.2007, 17:06

Твоя админка здесь не при чем.
Чтобы войти в твою админку, нужен пароль.
Можно обсуждать  достоинства и недостатки твоей системы, но, наверное, в другом топике, поскольку к скачиванию сайта она не имеет отношения.

в смысле, к скачиванию сайта?
я насколько понял, у чувака в одном месте в js присутствует запрос www.server.ru/req_page.php
или location.href = 'www.server.ru/req_page.php'
и он не хочет, чтобы она открывалась на любой запрос, а только с этого места

не скачает же злодей весь сайт со всеми .php и т.п. (ибо от этого в первую очередь и защищаются)?

здесь роль пароля отводится именно его запросу, а запрос, вида:
www.server.ru/req_page.php?pass=zakodirivannoeslovo
поставляет сам сервер

что тут можно скачать?

Fally, так если генерить хэш обращающегося скрипта — получится, что в том же Firebug хакер сможет увидеть этот хэш и тоже отправлять его со своего PHP-скрипта.

AzuManga, а пароль, по методу bars80080 - не увидит?

Добавлено через 2 минуты и 45 секунд

О каком "месте" идет речь? Можно поконкретнее?


не скачает. защищаются не от этого, а от скачивания информации.


AzuManga тебе только что ответил - Firebug и прочее.

Добавлено через 11 минут и 49 секунд

Да какой там пароль?!
В случае авторизации пользователь знает пароль, и отправляет его на сервер.
Если не знать пароля - то и не войдешь.

А в данном случае сервер сам отправляет пользователю пароль! Осталось только взять его и ввести.
Ну неужели, блин, это непонятно?

со страницы, которой позволено работать с требуемым файлом (вторая страница)


да хер с этим запросом,

алгоритм:
1.пользователь заходит на первую страницу (с1), там выполняет какие-то действия,
2.скрипт выдаёт ему запрос ко второй странице (с2)
и нам нужно только чтобы при нажатии ссылки на этот запрос, или при автоматическом действии скрипта пользователь мог получить доступ к (с2)

ежу понятно, что нам ничто не помешает выдрать этот запрос как бы он там не был спрятан, да пусть он открыто лежит ввиде той же ссылки, хер с ним!

фишка в том, чтобы он спустя несколько минут устарел и повторный ввод его не позволил бы получить доступ к (с2)

а вот это-то , блин, понятно?

тогда для получения нового актуального запроса, пришлось бы вновь пройти все процедуры на (с1)

Слушай, давай ты начнешь новую тему, там изложишь подробно суть метода, от чего ты им защищаешь, и в чем, после моих слов сомневаешься. А то я понять не могу, что тебе непонятно. 
Вроде бы, ясно, что от скачивания контента это не защищает: придется выполнить действия на с1 - ну и выполнит.
С этим ты согласен? Если да, и если у тебя ещё остались вопросы по твоему методу, то создай, плиз, новый топик.
Если не согласен и если считаешь, что от скачивания все равно защищает... Ну, распространяться я на эту тему не буду, а со временем сам поймешь

И нету в вебе никаких страниц. Есть только клиент, сервер и запросы. 

так вот это и требовалось доказать
с2 не доступна без обращения к с1,
конечно, для человека не составит труда пройти цикл вопросов-ответов или иную процедуру на с1,
но всё зависит от того что там спрашивается, если там та же авторизация, то она превращается в непробиваемую стену, пока неизвестен пароль

здесь защита от автоматического обращения
т.е., чтобы злодей, похеривший ссылку не мог обратиться к с2 без вызова с1
а сложность процедуры получения ссылки на с1 должна останавливать автоматическое выдёргивание ссылки злодеем каждый раз

та же каптча или временной интервал как на рапиде или депозите

ИМХО: тему надо было заканчивать постов двадцать назад,
пусть кто там её начал галочкой пометит

Сложность процедуры остановит легального пользователя.

Добавлено через 53 секунды

В тему не надо было влезать со своей авторизацией, которая не имеет отношения к обсуждаемому вопросу.

на двух стульях не усидеть

ты только и делаешь, что доказываешь, что выхода из темы (предложенной автором) нет, я предложил метод и отстаиваю его, пока меня не переубедят в обратном

Вам уважаемые надо не программированием заниматься, а системы физической защиты продумывать... На пример супер-мощная анти-угонная система "надувной гараж" или "насос для бензина" (чтоб выкачать его), ну или наконец вообще не покупать машину, а прыгать словно фея на знаке "Ошибка. Машина есть, но я ее спрятал, чтоб не угнали"...

Что мне мешает узнавать это ключик, каждый раз, при обращение к сайту и на его основе извлекать информацию? Причем "узнавать мне", это значит написать пару строк, чтоб программа каждый раз сама определяла ключ...

Помниться, на каком-то форуме (возможно и на этом) один программист хвастался супер скриптом, защищающим JS скрипты от копирования... Порядка десяти человек уже были готовы назвать его народным героем, пока не явился один гуру и за 5 минут не выдал "обход" такой защиты...

Это не пример "битой" защиты, это пример невозможности абсолютной защиты.

многоуважаемый, BuShaRt, могу порекомендовать вам только одно, прежде чем встревать в дискуссию - прочитать предыдущие посты

а посему повторяю

ни о какой суперской защите речи нет

тема находится в топике (и это не защита находящихся в js паролей)
я предложил определённое решение и по-моему оно с лихвой его воплощает
почему, прочитайте ниже а особенно три поста перед вашим вступлением

главнокомандующий очень пытался уверить меня, что подобная защита не возможна по той простой причине, что это js и на этом точка, всем боятся,
я ему пытался напомнить, что в интернете есть такие безусловно защищаемые системы как банковский эквайринг, https и т.п., которые каким-то образом реализуют в открытых системах средства защиты,
снова повторяю, я предложил свой метод, для вполне конкретной задачи (не защите информации как таковой, если вы думаете), и он не сумел мне доказать обратного

если хотите, попытайтесь вы

имхо мое мнение:

самое простое и действенное привел барс.
уважаемый форумчане вы забываете основное правило защиты: взлом должен произвестись с максимальными затратами и неудобствами, чтобы полученная информация не о купила себя. хотя действительно если человек задался целью свистнуть с вашего проекта какието данны то он не передчем не остановится

Можно цитату?

нет незя, ты опять не о том.
я имею в виду что почти все в нашем мире взламывается, все дело тока в полученной награде или выгоды. если хакерам нужно что то взломать то они достигнуть своей цели рано или поздно

Добавлено через 3 минуты и 23 секунды
и народ давайте прекращать, как говорит моя бабушка, толочь воду в ступе. разводим какую то *** (аж слоф нет как это обозвать). человек хотел реально действующих примеров или здравых идей, а получил что?  

MoLeX, 
Дело в том, что реально действующих идей нету и быть не может. На каждый пример защиты, названный в этой теме я продумывал алгоритм взлома, еще не дочитав идущий после него пост. Просто некоторые не понимают, что их "гениальное" решение являеться не чем иным как бредом. 

Когда вы придумаете вариант защиты txt файла от редактирования/копирования, при сохранение возможности его парсинга браузером, тогда можно продолжить бесуду.

BuShaRt, я о том же  
есть более-менее хорошие идеи но они спасут тока от человека тока-тока оторвавшегося от книжки `PHP для Чайнега` либо `Как взломать сайт недруга`

Не увидел четко в потоке слов такую идею:
Если воспрошающий хотел узнать метод с помощью которой можно закрыть логику JS от злоумышленника, то он либо жадина, либо построил свой проект абсолютно неправильно. 
1) жадина -- тут ничего не поделаешь, если он написал какую нибудь прыгающую-скачущую штуковинку, и не хочет что бы кто-то мог ее увести -- флаг в руки и закрыли тему, не помочь.
2) хочет скрыть логику -- прежде всего надо сказать: изменить архитектуру. Вся логика должна лежать на сервере, и максимум, что должно быть это функции checkXXX, тогда JS можно отдавать спокойно со словами "нате смотрите"..

А вообще представьте, вам задают вопрос: как к паровозу прикрутить крылья,  он по пахате не едет. И тут же начнете спор о том, в каких местах нужно крепить крылья и позовете гуру в аэро моделировании, что бы он дал вам экспертный и ничем не перекрываемый совет?.. или скажете, что паровоз для рельсов?..

02077461, ты неправильно понял, что хотел вопрошающий.
не логику, а поступающие с сервера данные.

02077461, 
Вы в корне не правы. Все программисты премиум класса, стараються максимально автоматизировать и перенести на JS интерфейсы (AJAX часть этого прогресса) т.к. широкие каналы уже позволяют скачивать массивные JS библиотеки функций, а возможность работать без перезагрузки страницы - это клондайк для пользователя (без перезагрузки - я не только о AJAX, а на пример о сортировке столбцов таблицы без сортировки).

В итоге переносить всю логику на сервер - дикий консерватизм. А то, что консерватизм в ИТ приносит пользу лишь в отрицательном порядке, я думаю понимаю все.

BuShaRt, ты неправ в той же степени. AJAX и возможность работы без перезагрузки - это не "клондайк", а один из инструментов. 
не "максимально перенести на JS", а переносят только там, где это действительно необходимо и удобно.

Уже одно то, что отправить ссылку другу при использовании AJAX составляет большую проблему, сильно ограничивает его применение.

В общем, всегда надо смотреть в каждом конкретном случае, а не пихать AJAX везде без разбору только потому, что ты программист премиум-класса.

Консерватизм в IT  приносит ровно столько же пользы, сколько и во всех других областях жизни. Он позволяет людям пользоваться теми инструментами, к которым они привыкли. А не подстравиваться каждый раз под буйную фантазию автора. И служит фильтром, который помогает отсеять безумные нововведения от удобных.

точно. на это есть универсальное, хотя и сложное решение: продолдать работать с ссылками, а работу с ajax "цеплять" на onclick(не по старинке - в herf="javascript::...") с возвратом в onclick false для предотвращения перехода по ссылке. тогда и в закладки можно пихать, и другу отправлять. и ajax при включенном javascript'e работать будет на "ура" 

Ну да, я возможно в корне неправ.
Думаю что можно так же по широкому каналу вылить на клиента массив с логинами/паролями всех пользователей, уже возможности позволяют, благо. И вести проверку на клиентской стороне. Тем самым разгрузим сервер он лишних вычислений. 

Вот насчет клондайка для пользователя -- это как, прикрутил AJAX, и все -- пользователь нашел все что ему нужно?.. 

<offtop>Был в истории прецедент лечения подавленного состояния с помощью препарации мозга. Пациенту начисто отключали часть мозга ответствующую за дипрессию. Изобретатель метода получил даже нобелевскую премию за метод. Было вилечено 70 тысяч пациентов, пока не поняли, что внедрение шипа в мозг не лучшее лекарство. Если для улучшения производительности вы хотите часть мозга перенести с сервера на клиент -- флаг вам в руки и программисты премиум класса в помощь. </offtop> 

Добавлено через 3 минуты и 15 секунд

это не позволит скопировать строку из адресной строки как например эту: http://forum.vingrad.ru/forum/s/dfb72fc628...1349624/30.html

а метод описанный вами подходит для того, что бы противные боты не снижали индекс цитирования при просмотре вашей страницы различными способами. Ну и конечно же для того, что бы при выключенном JS поддерживать функционирование сайта.

02077461, не в корне, а частично. Зачем утрировать?
От юношеского максимализма надо избавляться.
Вы оба правы. И оба неправы. У каждого способа есть свой ниша.
и прграммист премиум-класса не тот, кто пихает один и тот же метод для всего, а тот, кто выбирает для конкретной задачи самый подходящий.

<offtop>Есть такое слово сарказм. Не заставляйте применять всю его юношескую мощь его к вашим снисходительным советам. 

Думаю что последние две страницы дали четкий ответ на вопрос вопрошавшего, куда он попал.. и не дали ответ на заданный им вопрос.
За сим перестаю следить за информационным потоком. </offtop>

02077461, 
У вас, вообще образование техническое или гуманитарное? Кроме множестве острых фразочек я не услышал не одного умного слова... Вы, словно, доморошенный рекламщик, пытаетесь втюкнуть сдесь свои бредовые идеи, не аргументируя, а посыпая пудрой саму идею (чтоб симпатичней выгледела) и мозги обсуждающих.

Я сказал - консерватизм. (точка). Я не предлагал перетаскивать базу на клиентскую машину, это вы предумали, пустившись в крайность. Я же лишь, намекнул, что есть возможность заменить очень многие традиционно серверные операции заменить клиентскими (или продублировать в некоторых случаях). Из них: все калькуляторы, элементарная работа с графикой, сортфировка, авторизация (ajax), проверка ввода (дублированная), эмуляция закладок, автоматическое сохранение позиций checkbox (ajax) и многое другое. 

Искренне извеняюсь за оффтоп...