MK.VIZET
21.03.2015 - 22:26
Доброго времени суток, уважаемые форумчане!
Есть сайт "А", к которому будут обращаться другие сайты. Доступ к сайту "А" должен быть только у определенного списка сайтов, всем остальным доступ закрыт.
Реализация:
1 этап:Если ip, с которого поступил запрос отсутствует в списке серверов, на которых находятся сайты с разрешенным доступом в доступе отказывается.
2 этап:Если запрос произведен без соответствия уникального (для данного ip сервера и запроса) ключа в доступе отказывается.
В связи с тем, что есть
вероятность хищения ключа и последующего получения доступа с его помощью с сайта на этом же хосте или с тем, что его владелец сможет его
использовать на другом сайте, размещенном на этом же хосте требуется
дополнительные меры безопасности, есть какие-нибудь соображения по устранени подобной уязвимости?
FatCat
21.03.2015 - 22:59
Элементарно: обратным запросом.
Сайт А должен отвечать только сайтам Б и В.
Получив запрос с сайта Б, сайт А отправляет встречный запрос сайту Б, отправлял ли он запрос. И не надо никаких ключей и проверок по айпишнику...
_____________
Бесплатному сыру в дырки не заглядывают...
MK.VIZET
21.03.2015 - 23:21
| Цитата (FatCat @ 21.03.2015 - 22:59) |
Элементарно: обратным запросом.
Сайт А должен отвечать только сайтам Б и В.
Получив запрос с сайта Б, сайт А отправляет встречный запрос сайту Б, отправлял ли он запрос. И не надо никаких ключей и проверок по айпишнику... |
А где информация о сделанных запросах сайта Б хранится?
FatCat
22.03.2015 - 15:02
Сайт Б генерирует одноразовый ключ и отправляет запрос сайту А запрос данных вместе с одноразовым ключом.
Сайт А, получив запрос от сайта Б, посылает запрос сайту Б о валидности ключа.
Сайт Б сравнивает сохраненный ключ с полученным, и при совпадении ключей дает подтверждение.
Сайт А, получив подтверждение, удовлетворяет запрос сайта Б.
_____________
Бесплатному сыру в дырки не заглядывают...
MK.VIZET
22.03.2015 - 15:22
| Цитата (FatCat @ 22.03.2015 - 15:02) |
Сайт Б генерирует одноразовый ключ и отправляет запрос сайту А запрос данных вместе с одноразовым ключом.
Сайт А, получив запрос от сайта Б, посылает запрос сайту Б о валидности ключа.
Сайт Б сравнивает сохраненный ключ с полученным, и при совпадении ключей дает подтверждение.
Сайт А, получив подтверждение, удовлетворяет запрос сайта Б. |
Да, вариант очень хороший, спасибо
)
Только как можно защитится от того, чтобы владелец сайта с разрешенным доступом не создал еще сайт на этом же хосте?
FatCat
22.03.2015 - 15:53
| Цитата (MK.VIZET @ 22.03.2015 - 14:22) |
| создал еще сайт на этом же хосте? |
ОК, смоделируем. Я злоумышленник, и создал сайт Г, подделав в запросе, что я сайт Б.
Сайт А получает мой запрос и запрашивает подтверждения у сайта Б, а не у сайта Г.
_____________
Бесплатному сыру в дырки не заглядывают...
MK.VIZET
22.03.2015 - 16:41
| Цитата (FatCat @ 22.03.2015 - 15:53) |
| Цитата (MK.VIZET @ 22.03.2015 - 14:22) | | создал еще сайт на этом же хосте? |
ОК, смоделируем. Я злоумышленник, и создал сайт Г, подделав в запросе, что я сайт Б.
Сайт А получает мой запрос и запрашивает подтверждения у сайта Б, а не у сайта Г.
|
Да, но владелец сайта Г также является владельцем сайта Б, соответственно может реализовать следующую схему:
Г генерирует ключ
заносит запись на Б о запросе Б к А
отправляет запрос к А
А проверяет на Б ключ
отправляет ответ Г
FatCat
23.03.2015 - 12:51
| Цитата (MK.VIZET @ 22.03.2015 - 15:41) |
| владелец сайта Г также является владельцем сайта Б |
То есть, вопрос защиты не от кражи ключа, а от клонирования ключа владельцем?
Боюсь, что никак. Айпишник будет одинаковый, запросы будут одинаковые.
_____________
Бесплатному сыру в дырки не заглядывают...
MK.VIZET
23.03.2015 - 20:34
| Цитата (FatCat @ 23.03.2015 - 12:51) |
| Цитата (MK.VIZET @ 22.03.2015 - 15:41) | | владелец сайта Г также является владельцем сайта Б |
То есть, вопрос защиты не от кражи ключа, а от клонирования ключа владельцем?
Боюсь, что никак. Айпишник будет одинаковый, запросы будут одинаковые.
|
Больше от владельца, чем от кражи, но все же большое спасибо за предложенный вами вариант, он тоже пригодится:))
MK.VIZET А почему бы не генерировать сертификат для определенного клиента и при этом что бы сертификат генерируется под определенные уникальные параметры сервера/хост/домен ?
MK.VIZET
24.03.2015 - 05:19
| Цитата (TMake @ 23.03.2015 - 23:55) |
| MK.VIZET А почему бы не генерировать сертификат для определенного клиента и при этом что бы сертификат генерируется под определенные уникальные параметры сервера/хост/домен ? |
Если можно конкретнее
MK.VIZET
24.03.2015 - 18:59
Уважаемые модераторы тему можно закрыть
Быстрый ответ:
Powered by dgreen
Здесь расположена полная версия этой страницы.