Добрый вечер. Есть такая возможность, чтобы безопасно отдавать информацию по

запросам? Я хочу на своем сайте сделать типо API. И везде где есть такая функция. Есть также и секретный ключ или что-то вроде того. Как его настроить у себя? Или другой способ. Как отправить информацию только тем сайтам. Которые знаешь. И чтобы никто не смог перехватить и как-то нарушить.

TL; DR; если ты хочешь как то обезопасить твой API от запросов с других сайтов без отправки какого то пароля или ключа которого не будет на странице (который вводит пользователь), то по сути никак

Спасибо:) а как этот секретный ключ передается от пользователя? Его также могут же перехватить?

очень размытый вопрос конкретнее пожалуйтса: 1) что хотим защитить 2) от кого

Посмотри как реализовано у других и сделай так же

Над вопросом как безопасно доставить приватный ключ пользователю для асиметричного алгоритма шифрования уже давно бьются

Я не смог найти как у других. Я скачал SDK AliExpress. Но разобраться я там не смог.

И все же большие компании как-то используют секьюрность какую-то? Вряд-ли у них дыры:)

у тебя все смешалось, какое отношение сдк имеет к твоему сайту?

Человек сам генерирует приватный ключ. И передаёт только публичный.

Ну и подобная фигня. По факту, защитить информацию на 100% в интернете невозможно. Можно только повысить стоимость взлома информации до состояния когда это дороже потенциальной выгоды

Нет:) я их sdk скачал, чтобы настроить api моего сайта к Алику. И посмотреть как работает и на базе этого сделать на своем сайте подобное. Но я не разобрался.

Это называется XSRF-защита

Ну посмотри другие апи, раз с этим не вышло. Посмотри какие-нибудь апи ВКонтакте или Яндекса, у них наверняка на русском есть описание, если проблема в этом

Спасибо. И так мне нужно TL; DR; XSRF?

Я украинец:)

CSRF/XSRF да

Для этого есть https

для этого есть cookie. XSS почитай

Хорошо.

Это был ответ на вопрос --- как безопасно передавать ключ от пользователя на сервер чтобы его не прочитали посторонние

То есть пользователи могут свой ключ передавать в пост запросе например. И если кто-то перехватит этот запрос. Он не сможет получить содержимое?

он получит зашифрованую информацию. Расшифровать врядли сможет. Если сильно бздишь — меняй токен свой через час. За час если расшифруют — будет поздно.

Понял:) спасибо за разъяснения:)

вообще, некоторые компании которые выдают сертификаты на хттпс, финансовые гарантии дают. Например лям долларов тому кого расшифруют

может я туплю, но вот если мы можем перехватить весь трафик между клиентом и сервером, включая tls handshake,разве мы не можем расшифровать данные7

О как. Так это получается что все данные можно передавать в обычном посте и ничего не уйдет на лево?

ключ клиента генерируется у клиента на машине и не куда не передаётся по сети.

bingo, точно) спасибо, отбой с вопросом

как тебе написали, есть ещё xss, грубо говоря чужой жс код может увести налево данные пользователя на другой сервер, по другому (своему) хттпс.

Ля:) и выпал же мне этот геморрой:)

Не беда, все равно в открытом виде ничего по сети не бегает)