Как избежать поддельных запросов на сервер?

Tema05

Известный
Автор темы
1,474
439
Версия MoonLoader
.026-beta
У меня есть система с уникальными ключами у каждого пользователя. Далее по этому ключу сервер идентифицирует пользователя и если надо может отравить какие либо секретные данные. Но может произойти такая ситуации что ему подкинут скрипт и получат тот самый ключ. Тем самым можно подделать запрос на сервер использую краденный ключ и получить данные которые не должны знать. Как избежать вот таких поддельных запросов на сервер?
 
Последнее редактирование:
Решение
Палка о двух концах. Нет 100% защиты. Вот просто нет. В вебе для защиты используют CSRF. Уникальные токены генерируются каждый запрос. Если токен присланный юзеров не совпадает с серверным - запрос отклоняется.
Но одно дело веб, другое луа.
Тебе стоит погуглить про uuid или чет такое.
D

deleted-user-204957

Гость
У меня есть система с уникальными ключами у каждого пользователя. Когда новый пользователь впервые запускает скрипт он генерирует рандомный ключ, сохраняет его в ini и отправляет на сервер. Далее по этому ключу пользователя можно идентифицировать. Но вот юзеру можно подкинуть скрипт или другим образом заполучить ключ тем самым выдать себя за другого человека. Как можно обезопасить данную систему?
Ключ делай не рандомный, а на основании железа пользователя, при проверки расшифровывай ключ, получай данные с пк где был использован ключ и потом уже идентифицируй юзера. Самый просто вариант.
 

Tema05

Известный
Автор темы
1,474
439
Ключ делай не рандомный, а на основании железа пользователя, при проверки расшифровывай ключ, получай данные с пк где был использован ключ и потом уже идентифицируй юзера. Самый просто вариант.
Так мне как раз и не нужен 'Самый просто вариант' мне нужен надёжный. И привязка по железу хрень. У 1 юзера может спокойно меняться даже если фактически комплектующие те же. Проблема в том что все эти ключи и данные пк можно украсть и выдавать себя за другого человека что я как раз хочу избежать, зачем пересказывать то что мне не нужно?
 

_mudota_

Потрачен
208
27
Обратите внимание, пользователь заблокирован на форуме. Не рекомендуется проводить сделки.
Так мне как раз и не нужен 'Самый просто вариант' мне нужен надёжный. И привязка по железу хрень. У 1 юзера может спокойно меняться даже если фактически комплектующие те же.
Делай привязку по HWID.
 
D

deleted-user-204957

Гость
Так мне как раз и не нужен 'Самый просто вариант' мне нужен надёжный. И привязка по железу хрень. У 1 юзера может спокойно меняться даже если фактически комплектующие те же. Проблема в том что все эти ключи и данные пк можно украсть и выдавать себя за другого человека что я как раз хочу избежать, зачем пересказывать то что мне не нужно?
Ну так шифруй эти данные, л-логика. Свой алгоритм шифрования не так трудно написать.
получаешь ключ, расшифровываешь этот ключ, получаешь из него определенные данные о владельце ключа, потом получаешь информацию о том кто использует ключ, сравниваешь и.тд, и потом делаешь запрос если всё окей.
 
Последнее редактирование модератором:

Tema05

Известный
Автор темы
1,474
439
Ну так шифруй эти данные, л-логика. Свой алгоритм шифрования не так трудно написать.
получаешь ключ, расшифровываешь этот ключ, получаешь из него определенные данные о владельце ключа, потом получаешь информацию о том кто использует ключ, сравниваешь и.тд, и потом делаешь запрос если всё окей.
-_- декомпильнуть скрипт, узнать систему шифрования и всё защита пала. Можно что-то посущественней.
 

_mudota_

Потрачен
208
27
Обратите внимание, пользователь заблокирован на форуме. Не рекомендуется проводить сделки.

winten

Потрачен
409
184
Обратите внимание, пользователь заблокирован на форуме. Не рекомендуется проводить сделки.
на луа нет смысла делать привязку, шарящий человек любую обойдет
ну а вообще делаешь строку ключ + свое секретное слово, кидаешь его в sha2, результат отправляешь на сервер, но все равно если скрипт декомпильнут, то обходится изи
 

Tema05

Известный
Автор темы
1,474
439
на луа нет смысла делать привязку, шарящий человек любую обойдет
ну а вообще делаешь строку ключ + свое секретное слово, кидаешь его в sha2, результат отправляешь на сервер, но все равно если скрипт декомпильнут, то обходится изи
Ну так зачем ты это предлагаешь если сам говоришь что это не вариант 'но все равно если скрипт декомпильнут, то обходится изи'
Забей, челу надо систему идентификацию, он хуету какую то пишет, видимо сам не понимает чего хочет.
Мне надо на 4 страницы рассписать чтобы ты понял?
 

_mudota_

Потрачен
208
27
Обратите внимание, пользователь заблокирован на форуме. Не рекомендуется проводить сделки.
Ну так зачем ты это предлагаешь если сам говоришь что это не вариант 'но все равно если скрипт декомпильнут, то обходится изи'

Мне надо на 4 страницы рассписать чтобы ты понял?
Скрипт можно хорошо закомпилировать и заговнокодить. И никто не декомпилирует, а если декомпилирует то никто не поймёт твой "шифр"
 

Tema05

Известный
Автор темы
1,474
439
Скрипт можно хорошо закомпилировать и заговнокодить. И никто не декомпилирует, а если декомпилирует то никто не поймёт твой "шифр"
Мне не нужно защищать код так как всё равно декомпильнут, мне нужно чтобы сервер мог понять кто делает запрос.
 

_mudota_

Потрачен
208
27
Обратите внимание, пользователь заблокирован на форуме. Не рекомендуется проводить сделки.
Мне не нужно защищать код так как всё равно декомпильнут, мне нужно чтобы сервер мог понять кто делает запрос.
Подключи искусственный интеллект раз тебя нечего не устраивает.
 

AnWu

Известный
Всефорумный модератор
4,777
5,400
Палка о двух концах. Нет 100% защиты. Вот просто нет. В вебе для защиты используют CSRF. Уникальные токены генерируются каждый запрос. Если токен присланный юзеров не совпадает с серверным - запрос отклоняется.
Но одно дело веб, другое луа.
Тебе стоит погуглить про uuid или чет такое.
 
  • Нравится
Реакции: Ruslan20002