Как избежать поддельных запросов на сервер?

Tema05 · 18 Июн 2020

У меня есть система с уникальными ключами у каждого пользователя. Далее по этому ключу сервер идентифицирует пользователя и если надо может отравить какие либо секретные данные. Но может произойти такая ситуации что ему подкинут скрипт и получат тот самый ключ. Тем самым можно подделать запрос на сервер использую краденный ключ и получить данные которые не должны знать. Как избежать вот таких поддельных запросов на сервер?

deleted-user-204957 · 18 Июн 2020

Tema05 написал(а):
У меня есть система с уникальными ключами у каждого пользователя. Когда новый пользователь впервые запускает скрипт он генерирует рандомный ключ, сохраняет его в ini и отправляет на сервер. Далее по этому ключу пользователя можно идентифицировать. Но вот юзеру можно подкинуть скрипт или другим образом заполучить ключ тем самым выдать себя за другого человека. Как можно обезопасить данную систему?

Ключ делай не рандомный, а на основании железа пользователя, при проверки расшифровывай ключ, получай данные с пк где был использован ключ и потом уже идентифицируй юзера. Самый просто вариант.

Tema05 · 18 Июн 2020

withay написал(а):
Ключ делай не рандомный, а на основании железа пользователя, при проверки расшифровывай ключ, получай данные с пк где был использован ключ и потом уже идентифицируй юзера. Самый просто вариант.

Так мне как раз и не нужен 'Самый просто вариант' мне нужен надёжный. И привязка по железу хрень. У 1 юзера может спокойно меняться даже если фактически комплектующие те же. Проблема в том что все эти ключи и данные пк можно украсть и выдавать себя за другого человека что я как раз хочу избежать, зачем пересказывать то что мне не нужно?

_mudota_ · 18 Июн 2020

Tema05 написал(а):
Так мне как раз и не нужен 'Самый просто вариант' мне нужен надёжный. И привязка по железу хрень. У 1 юзера может спокойно меняться даже если фактически комплектующие те же.

Делай привязку по HWID.

Tema05 · 18 Июн 2020

_mudota_ написал(а):
Делай привязку по HWID.

Я не понятно задал вопрос? Я спрашиваю как избежать подделывания запроса на сервер а не как и на что делать привязку.

deleted-user-204957 · 19 Июн 2020

Tema05 написал(а):
Так мне как раз и не нужен 'Самый просто вариант' мне нужен надёжный. И привязка по железу хрень. У 1 юзера может спокойно меняться даже если фактически комплектующие те же. Проблема в том что все эти ключи и данные пк можно украсть и выдавать себя за другого человека что я как раз хочу избежать, зачем пересказывать то что мне не нужно?

Ну так шифруй эти данные, л-логика. Свой алгоритм шифрования не так трудно написать.
получаешь ключ, расшифровываешь этот ключ, получаешь из него определенные данные о владельце ключа, потом получаешь информацию о том кто использует ключ, сравниваешь и.тд, и потом делаешь запрос если всё окей.

Tema05 · 19 Июн 2020

withay написал(а):
Ну так шифруй эти данные, л-логика. Свой алгоритм шифрования не так трудно написать.
получаешь ключ, расшифровываешь этот ключ, получаешь из него определенные данные о владельце ключа, потом получаешь информацию о том кто использует ключ, сравниваешь и.тд, и потом делаешь запрос если всё окей.

-_- декомпильнуть скрипт, узнать систему шифрования и всё защита пала. Можно что-то посущественней.

_mudota_ · 19 Июн 2020

Tema05 написал(а):
-_- декомпильнуть скрипт, узнать систему шифрования и всё защита пала. Можно что-то посущественней.

Например a = z, z = b, k = 5 и тд. Топовая защита 😂

winten · 19 Июн 2020

на луа нет смысла делать привязку, шарящий человек любую обойдет
ну а вообще делаешь строку ключ + свое секретное слово, кидаешь его в sha2, результат отправляешь на сервер, но все равно если скрипт декомпильнут, то обходится изи

deleted-user-204957 · 19 Июн 2020

winten написал(а):
на луа нет смысла делать привязку, шарящий человек любую обойдет

Забей, челу надо систему идентификацию, он хуету какую то пишет, видимо сам не понимает чего хочет.

Tema05 · 19 Июн 2020

winten написал(а):
на луа нет смысла делать привязку, шарящий человек любую обойдет
ну а вообще делаешь строку ключ + свое секретное слово, кидаешь его в sha2, результат отправляешь на сервер, но все равно если скрипт декомпильнут, то обходится изи

Ну так зачем ты это предлагаешь если сам говоришь что это не вариант 'но все равно если скрипт декомпильнут, то обходится изи'

withay написал(а):
Забей, челу надо систему идентификацию, он хуету какую то пишет, видимо сам не понимает чего хочет.

Мне надо на 4 страницы рассписать чтобы ты понял?

_mudota_ · 19 Июн 2020

Tema05 написал(а):
Ну так зачем ты это предлагаешь если сам говоришь что это не вариант 'но все равно если скрипт декомпильнут, то обходится изи'

Мне надо на 4 страницы рассписать чтобы ты понял?

Скрипт можно хорошо закомпилировать и заговнокодить. И никто не декомпилирует, а если декомпилирует то никто не поймёт твой "шифр"

Tema05 · 19 Июн 2020

_mudota_ написал(а):
Скрипт можно хорошо закомпилировать и заговнокодить. И никто не декомпилирует, а если декомпилирует то никто не поймёт твой "шифр"

Мне не нужно защищать код так как всё равно декомпильнут, мне нужно чтобы сервер мог понять кто делает запрос.

_mudota_ · 19 Июн 2020

Tema05 написал(а):
Мне не нужно защищать код так как всё равно декомпильнут, мне нужно чтобы сервер мог понять кто делает запрос.

Подключи искусственный интеллект раз тебя нечего не устраивает.

AnWu · 19 Июн 2020

Палка о двух концах. Нет 100% защиты. Вот просто нет. В вебе для защиты используют CSRF. Уникальные токены генерируются каждый запрос. Если токен присланный юзеров не совпадает с серверным - запрос отклоняется.
Но одно дело веб, другое луа.
Тебе стоит погуглить про uuid или чет такое.

Поиск

Поиск

Как избежать поддельных запросов на сервер?

Tema05

Известный

AnWu

deleted-user-204957

Гость

Tema05

Известный

_mudota_

Потрачен

Tema05

Известный

deleted-user-204957

Гость

Tema05

Известный

_mudota_

Потрачен

winten

Потрачен

deleted-user-204957

Гость

Tema05

Известный

_mudota_

Потрачен

Tema05

Известный

_mudota_

Потрачен

AnWu

https://t.me/anwublog

Похожие темы