Спасибо всем за ответы. Начну по порядку:
Сообщение от Poznakomlus
|
Хреново знаете php, не только с помощью curl можно передать cookie? можно и file_get_contents ...
|
Знак "?" - тут подразумевалась запятая или это вопрос ко мне? Если это утверждение, то я не понимаю какая связь между моими знаниями по php и то что я в контексте своей проблемы указал про curl? file_get_contents мне известен само собой, но я им не пользуюсь для парсинга веба, только клиентской библиотекой работы с URL =>cURL. У file_get_contents для веба есть свои недостатки, из-за которых я даже в его сторону и не смотрю. Так что к чему эта фраза я не знаю. Замените в моём посте curl на file_get_contents - смысл не изменится...
Сообщение от Poznakomlus
|
как защитить мой скрипт от модификации пользователем никак
|
В принципе ожидаемо. На стороне пользователя защищаться бесполезно во всех аспектах это я уже понял.
Сообщение от Poznakomlus
|
создайте систему токенов
|
Это явно перекликается с этой статьей:
атака CSRF. Но это решит проблему, когда пытаются подсунуть неверные данные с другого IP, т.е. злоумышленник не пользователь нашего расширения. А как быть если наш пользователь? На информ. защите нас учили угрозы по максимуму идентифицировать и ликвидировать. Так что не стоит отбрасывать тот момент, что хацкер может быть со стороны клиента и токен у него будет.
Сообщение от Poznakomlus
|
Ведь средствами php тоже можно генерировать js легко js.php
|
Мы не генерируем средствами php javascript. С помощью расширения в head подключается js и происходит то, что я описал в стартовом сообщении.
Сообщение от KosBeg
|
Звучит страшно, на работает достаточно надежно =)
|
Обфускация в js решается за 15 минут не криворуким взломщиком. Неплохо, но увы не то. Всё же обфускацию в основе применяют для уменьшения читабельности и как метод борьбы с копированием скрипта, а мне хватило бы оповещения об его модификации.
Токен это хорошо, но решает проблему лишь частично.