| ||||||||
| ||||||||
|
|
|||||||||||||||||
|
|||||||
 |
 |
« Предыдущая тема | Следующая тема » |
| Опции темы | Опции просмотра |
|
 |
 |
26.08.2011, 13:32
|
|
||||
 Регистрация: Jun 2009
Сообщений: 461
|
Авторизация пользователя на стороннем сервере (Подробная версия).
Представьте, что есть какое-то приложение для соц сети. Пусть будет ферма. Запускаю клиент со страницы соц сети. Что-то меняю внутри приложения, и это что-то мне нужно сохранить на стороннем сервере. Для этого клиент отправляет запрос стороннему серверу, с данными об изменениях и свой ID. Получив данные, сервер сохраняет изменения для каждого отдельного пользователя.
Если я злоумышленник, то я могу отправить любой айди, и таким образом изменять данные любого пользователя, могу подключиться под любым пользователем. Как от этого можно защититься? |
|
26.08.2011, 13:38
|
|
||||
|
Banned
[+1 05.11.11]
[+1 09.08.11] Регистрация: Jan 2010
Адрес: РФ. Кемеровская область
Сообщений: 3,243
|
Для этого еще отправляется auth_key (в случае с контактом), как он составлен подробно описано в документации. Его правильность проверяется на сервере, и если все ок, данные меняются
|
|
26.08.2011, 13:44
|
|
||||
|
Регистрация: Jun 2009
Сообщений: 461
|
Я так же смогу на псевдо клиенте создать этот auth_key по всем правилам контакта.
 И сторонней сервер не узнает кто это.Добавлено через 4 минуты Все нашел, он передается с сервера вконтакте... спасибо, надеюсь такая механика во всех сетях. |
|
|
Часовой пояс GMT +4, время: 18:58. |
|
|
« Предыдущая тема | Следующая тема » |
|
|
Линейный вид
