AH
не поняв от кого ты защищаешься, невозможно тебе подсказать правильный механизм
Size: a a a
2021 March 26
MS
ты от митм защищаешься или от подмены серверных данных на клиенте?
я похоже не понимаю что вы имеете в виду под "клиент" и "серверных данных на клиенте"
AH
я похоже не понимаю что вы имеете в виду под "клиент" и "серверных данных на клиенте"
тот кто запрашивает что-то у сервера - клиент!
β🎀
Я думаю человек просто боится, что получатель ссылки пойдет и поменяет параметры в ней
AH
Я думаю человек просто боится, что получатель ссылки пойдет и поменяет параметры в ней
то есть ссылка формируется сервером?)
AH
и клиент тут ПОЛУЧАТЕЛЬ ссылки
MS
короче:
приложение1 генерирует ссылку (на приложение2) и отправляет её человеку
приложение2 проверяет параметры и подпись, если подпись хорошая, идем дальше
приложение1 генерирует ссылку (на приложение2) и отправляет её человеку
приложение2 проверяет параметры и подпись, если подпись хорошая, идем дальше
MS
не все, некоторые мне будут не подконтрольны
IC
короче:
приложение1 генерирует ссылку (на приложение2) и отправляет её человеку
приложение2 проверяет параметры и подпись, если подпись хорошая, идем дальше
приложение1 генерирует ссылку (на приложение2) и отправляет её человеку
приложение2 проверяет параметры и подпись, если подпись хорошая, идем дальше
похоже на аутентификацию для бедных всё таки
AH
короче:
приложение1 генерирует ссылку (на приложение2) и отправляет её человеку
приложение2 проверяет параметры и подпись, если подпись хорошая, идем дальше
приложение1 генерирует ссылку (на приложение2) и отправляет её человеку
приложение2 проверяет параметры и подпись, если подпись хорошая, идем дальше
просто на приложении1 шифруешь параметры квери публичным ключом, кладешь первые 32 байта в урлу
в приложении2 повторно шифруешь полученные параметры квери и проверяешь что первые 32 байта совпадают.
Я не уверен что хеш алгоритмы тут сработают лучше, хотя они обладают тем же эффектом
в приложении2 повторно шифруешь полученные параметры квери и проверяешь что первые 32 байта совпадают.
Я не уверен что хеш алгоритмы тут сработают лучше, хотя они обладают тем же эффектом
MS
а приложения 1 и 2 оба твои ?
ну, целевое, то что подпись проверяет, мое, а вот клиенты, могут быть и чужие
A
Верифицируешь только ты - это понятно.
Сами ссылки если опять же только ты генерируешь на сервере - то просто
nonce=HMACSHA256(Value1+Value2, SECRET)
Если генерация на клиенте или вообще сторонним приложением, то симметричная криптография не подойдет - SECRET выйдет вовсе не секретным, тогда надо смотреть в сторону RSA/ECDSA
Сами ссылки если опять же только ты генерируешь на сервере - то просто
nonce=HMACSHA256(Value1+Value2, SECRET)
Если генерация на клиенте или вообще сторонним приложением, то симметричная криптография не подойдет - SECRET выйдет вовсе не секретным, тогда надо смотреть в сторону RSA/ECDSA
MS
SHA256(SHA256(Value1 + Value2) + SALT)
такой подписи будет достаточно?
такой подписи будет достаточно?
Двойной вызов SHA256 смысла не имеет, он может даже снизить стойкость. SHA256(Value1 + Value2 + SALT) прямее.
MS
Двойной вызов SHA256 смысла не имеет, он может даже снизить стойкость. SHA256(Value1 + Value2 + SALT) прямее.
будет HMAC, спасибо
MS
Ну тоже не двойной вызов просто. Одинарного хватает.