Защищенная отправка GET запроса через URLOpenBlockingStream

Забаненный
Статус
Оффлайн
Регистрация
18 Сен 2018
Сообщения
34
Реакции[?]
11
Поинты[?]
0
Обратите внимание, пользователь заблокирован на форуме. Не рекомендуется проводить сделки.
В общем я отправляю GET запрос с приставкой https:// на свой хост на котором установлен SLL сертификат c поддержкой HSTS, SSI, Wildcard и проверка подлинности через DNS. При отправки Fiddler показывает
Пожалуйста, авторизуйтесь для просмотра ссылки.
На скриншоте видно что запрос - тунель а ответ можно перехватить и изменить. Как пофиксить?
 
Эксперт
Статус
Оффлайн
Регистрация
31 Мар 2017
Сообщения
997
Реакции[?]
652
Поинты[?]
0
ответ можно перехватить и изменить
Открою секрет, любые данные можно перехватить и изменить.
Вот только можно сделать так, чтобы при смене этих данных менялась и соль, которую ты тоже отправляешь, что уже будет намекать твоему обработчику на неверность данных.

Поподробнее? Ну давай.
Ты отправляешь данные на свой сервер, ты хочешь их обработать, но их можно отследить и изменить в отправке.
Что мешает позаимствовать логику передачи данных с какого-нибудь мерчанта?

Данные складываются в целое , с некой солью, и отправляются на сервер, ты, взяв эти данные, добавляешь свой уник ключ к получившейся соли, сверяешь её с тем что пришла.

Такая тема очень популярна на всех сайтах. Будь то вконтакте, будь то другая сеть или сайт.
Они отправляют "TOKEN" , это что-то соли, которую сгенерировали из данных и её не расшифровать, ибо она имеет шифровку в один конец.

Что я могу тебе предложить.
Складывай свои данные, добавляй уникальный ключ, отправляй эту соль со своими данными и делай проверку из этих данных на сервере, а потом сверяй токены.

Эта защита используется повсеместно, если нужно отправить форму на другой сайт, если нужно чтобы данные дошли в неизменённом виде.

Никакой SSL сертификат тебе не поможет если ты будешь отправлять голые данные.

Кстати да, данные не помешало бы тоже шифровать. А не отправлять голым видом (спасибо Крайслеру).
 
Эксперт
Статус
Оффлайн
Регистрация
12 Июн 2014
Сообщения
991
Реакции[?]
1,209
Поинты[?]
3K
Забаненный
Статус
Оффлайн
Регистрация
18 Сен 2018
Сообщения
34
Реакции[?]
11
Поинты[?]
0
Обратите внимание, пользователь заблокирован на форуме. Не рекомендуется проводить сделки.
ошибка номер раз
Уже понял что нужен пост, но я не ебу как его сделать.
ошибка номер два
А что ещё юзать???
Премиумно обьяснил, я прямо понял.
 
Эксперт
Статус
Оффлайн
Регистрация
12 Июн 2014
Сообщения
991
Реакции[?]
1,209
Поинты[?]
3K
А что ещё юзать???
я вроде уже отвечал на этот вопрос
Премиумно обьяснил, я прямо понял.
используй криптографическeую библиотеку OpenSSl в связке с WinSoket или cUrl


Уже понял что нужен пост, но я не ебу как его сделать.
Код:
<?php

if (isset($_POST['MESSAGE']))
{
    $ClientMessage = $_POST['MESSAGE'];
    switch ($ClientMessage) {
    
      case 'DATA':
          Exit('PROFIT!!!!!);
      break;
    }
}

Код:
yousite.com\youscript.php?MESSAGE=DATA
 
Сверху Снизу