Предотвратите пользователей возможность получить доступ к веб-странице через веб-браузер?
https://stackoverflow.com/questions/2661655
-
27-09-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianВопрос
Мой друг и я работаю над программой. Эта программа собирается отправить данные получить данные на нашу веб-страницу. Тем не менее, мы не хотим, чтобы пользователи доступа к веб-странице любым другим способом, чем программа. Мы можем помешать пользователям поделиться программой, используя аутентификацию HWID, но ничто не мешает им использовать сканер пакетов, чтобы получить URL веб-страницы. Мы подумали о аутентификации пользователей-агента, которую мы будем реализовывать, но агенты пользователей могут быть легко подсвечены.
Таким образом, мой вопрос, как мы можем предотвратить доступ пользователям доступ к веб-странице напрямую, а не через программу?
Даже если у вас нет ответа, который будет полностью работать, все, что поможет удержать их, было бы неплохо.
В настоящее время мы будем реализовывать:
HWID аутентификация, чтобы использовать аутентификацию пользовательского агента программы для доступа к веб-странице мгновенного IP-черной списки для любого доступа к веб-странице без правильного пользовательского агента
Решение
Не полагайтесь на пользовательский агент или любой вид отпечатков пальцев браузера, заголовки HTTP легко подделаны / подделываются.
Вы можете добавить несколько секретных токенов (например, пароль / вход) к запросу и отправить его через SSL для предотвращения подслушивания.
Или лучше, используйте сертификат клиента SSL.
Редактировать Собираетесь ли вы распространять программу VB? Если это так, как упоминается бобин, нет никакого способа предотвратить определенного хакера для формирования запросов. Вы можете поднять бар, но это будет Безопасность посредством неясности. Отказ Даже с клиентами Certs Hacker сможет извлечь сертификацию из вашей программы и отправлять модифицированные запросы.
Пока вы принимаете запросы от клиента, эти запросы могут быть подделаны. Смирись с этим.
Другие советы
Один вариант - это вы можете установить зашифрованный токен в заголовке запроса.
Токен можно использовать только в течение одного времени. Если тот же токен снова отправляется, сервер отклонит его, означает, что вы должны поддерживать копию использования токенов на стороне сервера.
Один вариант - использовать и проверить пользовательский заголовок, который веб-браузер не отправляет, я сделал подобную вещь для своей собственной программы. Сделайте это единство других проверок, которые вы делаете. На сервере есть скрипт сервера проверяют пользовательский заголовок и просто перенаправьте, если заголовок неправильный
Попробуйте зашифровать все веб-страницы, используя длинный ключ (512бит или больше), используйте HWID как соль.
Таким образом, только ваша программа может декодировать ее и сделать его как веб-страницу.
en.wikipedia.org/wiki/salt_%28cryptography%29.
C # & vb.net здесь:
oviex.com/samples/hash.aspx.
