Показать сообщение отдельно
  #4 (permalink)  
Старый 25.05.2015, 10:53
Новичок на форуме
Отправить личное сообщение для aerohotter Посмотреть профиль Найти все сообщения от aerohotter
 
Регистрация: 20.05.2015
Сообщений: 6

Спасибо всем за ответы. Начну по порядку:

Сообщение от Poznakomlus
Хреново знаете php, не только с помощью curl можно передать cookie? можно и file_get_contents ...
Знак "?" - тут подразумевалась запятая или это вопрос ко мне? Если это утверждение, то я не понимаю какая связь между моими знаниями по php и то что я в контексте своей проблемы указал про curl? file_get_contents мне известен само собой, но я им не пользуюсь для парсинга веба, только клиентской библиотекой работы с URL =>cURL. У file_get_contents для веба есть свои недостатки, из-за которых я даже в его сторону и не смотрю. Так что к чему эта фраза я не знаю. Замените в моём посте curl на file_get_contents - смысл не изменится...

Сообщение от Poznakomlus
как защитить мой скрипт от модификации пользователем никак
В принципе ожидаемо. На стороне пользователя защищаться бесполезно во всех аспектах это я уже понял.

Сообщение от Poznakomlus
создайте систему токенов
Это явно перекликается с этой статьей: атака CSRF. Но это решит проблему, когда пытаются подсунуть неверные данные с другого IP, т.е. злоумышленник не пользователь нашего расширения. А как быть если наш пользователь? На информ. защите нас учили угрозы по максимуму идентифицировать и ликвидировать. Так что не стоит отбрасывать тот момент, что хацкер может быть со стороны клиента и токен у него будет.

Сообщение от Poznakomlus
Ведь средствами php тоже можно генерировать js легко js.php
Мы не генерируем средствами php javascript. С помощью расширения в head подключается js и происходит то, что я описал в стартовом сообщении.

Сообщение от KosBeg
Звучит страшно, на работает достаточно надежно =)
Обфускация в js решается за 15 минут не криворуким взломщиком. Неплохо, но увы не то. Всё же обфускацию в основе применяют для уменьшения читабельности и как метод борьбы с копированием скрипта, а мне хватило бы оповещения об его модификации.

Токен это хорошо, но решает проблему лишь частично.
Ответить с цитированием