Verhindern, dass Benutzer in der Lage, eine Webseite über den Webbrowser zugreifen?

StackOverflow https://stackoverflow.com/questions/2661655

Frage

Mein Freund und ich arbeiten an einem Programm. Dieses Programm wird auf GET-Daten auf unsere Webseite einreichen. Allerdings wollen wir nicht Benutzer der Webseite auf andere Weise als das Programm zugreifen. Wir können verhindern, dass Benutzer das Programm über HWID Authentifizierung teilen, aber nichts hindert sie daran, mit einem Paket-Scanner die URL der Webseite zu erhalten. Wir dachten über User-Agent-Authentifizierung, die wir implementieren, aber User-Agents leicht gefälscht werden können.

Also meine Frage ist, wie können wir verhindern, dass Benutzer die Webseite direkt zugreifen, statt durch das Programm?

Auch wenn Sie nicht über eine Antwort, die vollständig der Arbeit, alles, was hilft abschrecken sie schön wäre.

Zur Zeit werden wir die Umsetzung:

HWID Authentifizierung das Programm verwenden User-Agent-Authentifizierung Zugriff auf die Web-Seite Instant-IP schwarze Liste zu jedem der Webseite ohne den richtigen User-Agent

Zugriff
War es hilfreich?

Lösung

Verlassen Sie sich nicht auf User-Agent oder jede Art von Browser-Fingerabdruck, HTTP-Header sind leicht zu fälschen / Spoofing.

Sie könnten einige geheime Token hinzufügen (z. B. Passwort / login) auf die Anfrage und durch SSL senden Abhören zu verhindern.

Oder besser, ein SSL-Client-Zertifikat verwenden.

Bearbeiten Wollen Sie das VB-Programm verteilen? Wenn ja, wie bobince erwähnte, gibt es keine Möglichkeit gibt, können Sie einen entschlossenen Hacker zu schmieden Anfragen verhindern. Sie können die Messlatte höher, aber es wird Sicherheit durch Unklarheit . Auch bei Client-Zertifikaten, wird der Hacker in der Lage das CERT aus Ihrem Programm zu extrahieren und modifizierten Anfragen senden.

Solange Sie Anfragen vom Client akzeptieren, können diese Anforderungen geschmiedet werden. Damit umgehen.

Andere Tipps

Eine Option ist, können Sie ein Token im Request-Header verschlüsselt gesetzt.

Der Token kann nur für einzelnes Mal verwendet werden. Wenn das gleiche Token erneut gesendet wird, wird der Server ablehnen, Mittel u haben, um die Kopie der verwendeten Token auf der Serverseite zu erhalten.

ist eine Option verwenden und einen benutzerdefinierten Header zu überprüfen, die einen Web-Browser nicht senden nicht, ich für ein Programm meiner eigenen eine ähnliche Sache tat. Haben diese ontop der anderen Prüfungen Sie tun. Auf Serverside, haben Sie Ihren Server-Skript den benutzerdefinierten Header überprüfen und einfach umleiten, wenn der Header falsch

  • Versuchen Sie, alle ur Webseiten Verschlüsseln der einen langen Schlüssel (512bits oder mehr) verwenden, um die HWID als Salz.

    Auf diese Weise nur ur-Programm kann es dekodieren und als Webseite machen.

      

    en.wikipedia.org/wiki/Salt_%28cryptography%29

  • C # & VB.net hier:

      

    obviex.com/samples/hash.aspx

Lizenziert unter: CC-BY-SA mit Zuschreibung
Nicht verbunden mit StackOverflow
scroll top