170 похожих чатов

Добрый вечер. Есть такая возможность, чтобы безопасно отдавать информацию по

запросам? Я хочу на своем сайте сделать типо API. И везде где есть такая функция. Есть также и секретный ключ или что-то вроде того. Как его настроить у себя? Или другой способ. Как отправить информацию только тем сайтам. Которые знаешь. И чтобы никто не смог перехватить и как-то нарушить.

31 ответов

20 просмотров

TL; DR; если ты хочешь как то обезопасить твой API от запросов с других сайтов без отправки какого то пароля или ключа которого не будет на странице (который вводит пользователь), то по сути никак

Ян 🌙- Автор вопроса

Спасибо:) а как этот секретный ключ передается от пользователя? Его также могут же перехватить?

очень размытый вопрос конкретнее пожалуйтса: 1) что хотим защитить 2) от кого

Посмотри как реализовано у других и сделай так же

Над вопросом как безопасно доставить приватный ключ пользователю для асиметричного алгоритма шифрования уже давно бьются

Ян 🌙- Автор вопроса

Я не смог найти как у других. Я скачал SDK AliExpress. Но разобраться я там не смог.

Ян 🌙- Автор вопроса

И все же большие компании как-то используют секьюрность какую-то? Вряд-ли у них дыры:)

у тебя все смешалось, какое отношение сдк имеет к твоему сайту?

Человек сам генерирует приватный ключ. И передаёт только публичный.

Ну и подобная фигня. По факту, защитить информацию на 100% в интернете невозможно. Можно только повысить стоимость взлома информации до состояния когда это дороже потенциальной выгоды

Ян 🌙- Автор вопроса

Нет:) я их sdk скачал, чтобы настроить api моего сайта к Алику. И посмотреть как работает и на базе этого сделать на своем сайте подобное. Но я не разобрался.

Это называется XSRF-защита

Ну посмотри другие апи, раз с этим не вышло. Посмотри какие-нибудь апи ВКонтакте или Яндекса, у них наверняка на русском есть описание, если проблема в этом

Ян 🌙- Автор вопроса

Спасибо. И так мне нужно TL; DR; XSRF?

Ян 🌙- Автор вопроса

Я украинец:)

Для этого есть https

для этого есть cookie. XSS почитай

Ян 🌙- Автор вопроса

Хорошо.

Это был ответ на вопрос --- как безопасно передавать ключ от пользователя на сервер чтобы его не прочитали посторонние

Ян 🌙- Автор вопроса

То есть пользователи могут свой ключ передавать в пост запросе например. И если кто-то перехватит этот запрос. Он не сможет получить содержимое?

он получит зашифрованую информацию. Расшифровать врядли сможет. Если сильно бздишь — меняй токен свой через час. За час если расшифруют — будет поздно.

Ян 🌙- Автор вопроса

Понял:) спасибо за разъяснения:)

вообще, некоторые компании которые выдают сертификаты на хттпс, финансовые гарантии дают. Например лям долларов тому кого расшифруют

может я туплю, но вот если мы можем перехватить весь трафик между клиентом и сервером, включая tls handshake,разве мы не можем расшифровать данные7

Ян 🌙- Автор вопроса

О как. Так это получается что все данные можно передавать в обычном посте и ничего не уйдет на лево?

ключ клиента генерируется у клиента на машине и не куда не передаётся по сети.

как тебе написали, есть ещё xss, грубо говоря чужой жс код может увести налево данные пользователя на другой сервер, по другому (своему) хттпс.

Ян 🌙- Автор вопроса

Ля:) и выпал же мне этот геморрой:)

Не беда, все равно в открытом виде ничего по сети не бегает)

Похожие вопросы

Обсуждают сегодня

Господа, а что сейчас вообще с рынком труда на делфи происходит? Какова ситуация?
Rꙮman Yankꙮvsky
29
А вообще, что может смущать в самой Julia - бы сказал, что нет единого стандартного подхода по многим моментам, поэтому многое выглядит как "хаки" и произвол. Короче говоря, с...
Viktor G.
2
30500 за редактор? )
Владимир
47
а через ESC-код ?
Alexey Kulakov
29
Чёт не понял, я ж правильной функцией воспользовался чтобы вывести отладочную информацию? но что-то она не ловится
notme
18
У меня есть функция где происходит это: write_bit(buffer, 1); write_bit(buffer, 0); write_bit(buffer, 1); write_bit(buffer, 1); write_bit(buffer, 1); w...
~
14
Добрый день! Скажите пожалуйста, а какие программы вы бы рекомендовали написать для того, чтобы научиться управлять памятью? Можно написать динамический массив, можно связный ...
Филипп
7
Недавно Google Project Zero нашёл багу в SQLite с помощью LLM, о чём достаточно было шумно в определённых интернетах, которые сопровождались рассказами, что скоро всех "ибешни...
Alex Sherbakov
5
Ребят в СИ можно реализовать ООП?
Николай
33
https://github.com/erlang/otp/blob/OTP-27.1/lib/kernel/src/logger_h_common.erl#L174 https://github.com/erlang/otp/blob/OTP-27.1/lib/kernel/src/logger_olp.erl#L76 15 лет назад...
Maksim Lapshin
20
Карта сайта