Sto attraversando un periodo difficile per capirlo. Ho trascorso circa 4 ore a gattonare il web senza post SO per salvarmi.come aggiornare in modo sicuro un database remoto all'interno di un'estensione di Chrome?
immaginare uno scenario:
ho già scritto un'estensione Chrome, che cattura alcune azioni particolari sulla pagina web (soprattutto pulsante di uno scatto). Questa azione attiva una funzione che cattura le informazioni dell'utente e le informazioni sui pulsanti (tutte presenti sulla pagina stessa) e la visualizza
Ora voglio che il plugin sia in grado di aggiornarlo in una configurazione di database su un telecomando server.
Dato che io sono fluente in PHP (e quindi MySQL è una buona scelta), sto cercando una soluzione per fare in modo che gli aggiornamenti sono resi solo e soltanto dall'estensione stessa.
Per questo penso che l'opzione migliore sarebbe quella di eseguire una richiesta GET/POST qualcosa come http://remoteserver.tld/update-db.php?id=XXXX&action=YYYYY&foo=bar .... ecc. Ma cosa succede se l'utente apre/passa post vars a questo URL al di fuori del plugin?
I dati verranno comunque aggiornati e l'integrità andrà persa!
La prossima idea migliore era includere le chiavi con richiesta, ma di nuovo le estensioni sono scritte in JS, quasi chiunque può annusare le chiavi.
Guida al metodo migliore per aggiornare il database sul server remoto e verificare che l'azione sia autenticata.
Cheers!
chiunque può annusare i tasti e chiunque può annusare l'estensione sta facendo. la perfetta sicurezza è essenzialmente impossibile. scegli un livello di rischio con cui sei disposto a lavorare e proteggi le cose fino a quel momento, non più lontano –
Questo è vero ... ma ci sarebbe un modo che potrei sul server, controllare che la richiesta di aggiornamento il database proviene dal plug-in o proviene da una pagina falsificata? ... quali opzioni pensi che abbia @MarcB? ... quale sarebbe stata la tua opinione in questo? ... ricorda che deve essere altrettanto veloce possibile ... perché ci saranno 100 utenti che lavorano sulla rete intranet che aggiorna un host ... – whizzzkid
diciamo che sto lavorando per uno dei pionieri della tecnologia e ho bisogno di un metodo solido per proteggere i falsi su questi dati ... perché Credo che i nerd qui proveranno e modificheranno questi dati al loro meglio ... grazie per le tue idee @MarcB – whizzzkid