K
koli.bri
Hallo Programmierersvolk.
Eine "Sicherheitsfrage":
Da ich zur Zeit an einem Spielsystem arbeite, was recht viel mit HTTP-Requests arbeitet, stellt sich mittlerweile auch folgende Frage: Wie kann ich sicherstellen, dass die URLs, die in den Requests aufgerufen werden, auch nur von meinen JavaScript-Funktionen aufgerufen werden, und nicht von einem Anwender, der ein wengi von der Materie kennt und sich die URL einfach raussucht und von Hand aufruft, um sich einen Spielvorteil zu schaffen...
(Man stelle sich vor, mal so eben 100 Unverwundbarkeitstränke in 10 Sekunden, das selbe mit der Ultimativen Waffe
)
Nach meinen Überlegungen gib es zwei Möglichkeiten, das ganze anzugehen:
Einmal die URL so gut wie möglich zu verstecken, verschleiern. Mach ich allein aus Faulheit schon, da ich eine JS-Funktion habe, die mir die URL zusammenbaut.
Ist aber auch nicht gerade das gelbe vom Ei.
Die andere Möglichkeit besteht darin, eine Abfrage zu machen, woher die URL aufgerufen worden ist. Aber wie stelle ich das an?
Hatte schon überlegt, dass ich via JavaScript einen Zufallswert generiere, den dem Request mitgebe, der Schreibt den beim RückgabeText in die erste Zeile, die dann wieder in JS überprüft wird, obs der Wert ist, den ich vohrer generiert habe.
Aber das lässt sich ja auch recht leicht aushebeln.
Ideal wäre also etwas, was auf der Serverseite funktioniert, sowas wie "Welche Datei hat gerade diesen Request gestartet?"
Steht diese Info vielleicht im HTTP-Header? Wenn ja, wie komme ich da dran?
Also, kurz: Wie stelle ich sicher, dass nur meine Scripte Zugriff auf meine Requestdatei haben?
(Und kommt mir nicht mit dem Kram, den die bei phpMyAdmin gebracht haben, auch wenns funktioniert. Aber wie, das rafft ja niemand)
gruß
Lukas
Eine "Sicherheitsfrage":
Da ich zur Zeit an einem Spielsystem arbeite, was recht viel mit HTTP-Requests arbeitet, stellt sich mittlerweile auch folgende Frage: Wie kann ich sicherstellen, dass die URLs, die in den Requests aufgerufen werden, auch nur von meinen JavaScript-Funktionen aufgerufen werden, und nicht von einem Anwender, der ein wengi von der Materie kennt und sich die URL einfach raussucht und von Hand aufruft, um sich einen Spielvorteil zu schaffen...
(Man stelle sich vor, mal so eben 100 Unverwundbarkeitstränke in 10 Sekunden, das selbe mit der Ultimativen Waffe
)Nach meinen Überlegungen gib es zwei Möglichkeiten, das ganze anzugehen:
Einmal die URL so gut wie möglich zu verstecken, verschleiern. Mach ich allein aus Faulheit schon, da ich eine JS-Funktion habe, die mir die URL zusammenbaut.
Ist aber auch nicht gerade das gelbe vom Ei.
Die andere Möglichkeit besteht darin, eine Abfrage zu machen, woher die URL aufgerufen worden ist. Aber wie stelle ich das an?
Hatte schon überlegt, dass ich via JavaScript einen Zufallswert generiere, den dem Request mitgebe, der Schreibt den beim RückgabeText in die erste Zeile, die dann wieder in JS überprüft wird, obs der Wert ist, den ich vohrer generiert habe.
Aber das lässt sich ja auch recht leicht aushebeln.
Ideal wäre also etwas, was auf der Serverseite funktioniert, sowas wie "Welche Datei hat gerade diesen Request gestartet?"
Steht diese Info vielleicht im HTTP-Header? Wenn ja, wie komme ich da dran?
Also, kurz: Wie stelle ich sicher, dass nur meine Scripte Zugriff auf meine Requestdatei haben?
(Und kommt mir nicht mit dem Kram, den die bei phpMyAdmin gebracht haben, auch wenns funktioniert. Aber wie, das rafft ja niemand
)gruß
Lukas
) ist, muss ich dann auf der PHP-Seite wieder einen neuen Schlüssel generieren, wohl mit einem zweiten Request, der direkt nachgeschubst wird, und den Zurückgegebenen Schlüssel wieder in der JS-Variablen speichert.