Firewall, если на уровне сети.
Авторизация, если на уровне приложения.
Например, Передавай еще HTTP-header какой-нибудь определенный.
Бля, представляю как он очканул
Ты сам на свой вопрос ответил.
Проверяй что отправляется именно картинка, а не что-либо еще. Проверяй чтобы опрос был отправлен именно расширением. Или у тебя проблемы с реализацией как раз?
> Передавай еще HTTP-header какой-нибудь определенный
Код всех расширений открыт любому желающему. Его, разве что, можно обфусцировать, но это такое..
Я к тому, что Петров откроет код расширения и по-приколу отправит что-нибудь. Я хотел бы узнать как можно от этого защититься полностью, но сейчас я подумал, и понял, что для моих целей, в принципе, хватает и проверки такого header'а + проверки размера картинки, да и всё, наверное. Ну, побампаю ещё, посмотрю другие ответы.
Ну и ещё ограничение на отправку множества картинок по айпи - забыл добавить.
> Проверяй чтобы опрос был отправлен именно расширением
А есть 100% варианты узнать, что это именно расширение?
Соус, пожалуйста.
Сам не знаю, но я уверен, что гуглится легко, может даже по словам. Попробуй?
В коде у тебя не должно быть значения заголовка.
Ты его проставишь уже в раньтайме.
посмотри, как любая авторизация работает, блжад.
Никто не храниит в коде логины и пароли, их вводят пользователи.
Сделай форму с логином и паролем у себя, пусть юзер вводит туда свои данные во время первого запуска расширения.
Дальше он отправит тебе на сервак эти логин и пароль, ты выдашь ему куку, например, дальше он с этой кукой больше логин и пароль слать тебе не должен будет.
Повторяю, все это вводится в рантайме, никакой код это не хранит.
Хотелось бы обойтись без авторизаций. Логины+пароли для неба, логины+пароли для Аллаха уже всех достали
И я могу ограничивать не по куке, а по тому же айпи. Нахуя мне эта авторизация тогжда? Усложнит создание ботов, да, но не намного.
Попробуй использовать авторизацию в гугл-хроме встроенную.
>по ip
Тебе это в самом начале написали.что ты еще хочешь?
Я не понял, а какая разница, через расширение запрос пришел или каким-то другим способом? Ты же всё равно получаемые данные экранируешь как-то
По нулям.
Да это я сам ведь и написал, ха-ха-ха. Не знаю чего хочу. Спросил как это вообще делается, в голове каша сейчас. Ну вроде ход мыслей восстановлен. Не зря же все эти сайты с формами когда с ботами борются лишь немного каждый раз усложняют работу ботам, но 100% защиту сделать невозможно, вроде как. В общем, я понял как буду делать это. Спасибо за ответы. Пока не создал этот тред, не смог догадаться до правильного ответа.
Бля, ну ты чё, а? С первой попытки, буквально
Никак это не сделается, любой даун отснифать свой трафик сможет. Ну или тупо твой код поизучает и поймет.
>обфускация
Другие улучшения безопасности расширений
Запрет на обфускацию кода
Разработчики расширений также столкнуться с рядом изменений. Расширения, которые используют обфусцированный код будут запрещены в Интернет-магазине Chrome. Размещенные на площадке расширения, которые используют обфускацию кода, получат 90-дневный переходный переход, чтобы избавиться от нечитаемого кода. Если по истечении данного периода обфускация не будет исключена, расширение будет удалено из магазина. Новым расширения с обфусцированным кодом будет отказано в размещении сразу же.
обьясни тупому, как вы в коде скроете значение заголовка? Я представляю себе что post-запрос формируется в коде явно, и можно увидеть в коде все заголовки которые нужно отправить с ним
проверяй на сервере, на клиентской части ничего не поделаешь
> Запрет на обфускацию кода
Понял. Не очень-то и хотелось. Значит они вручную их модерируют что ли?
Да, всё верно. Никак. Моя ошибка. Вот тут: правильно написано про просмотр трафика.
Ty
У тебя просто спрятано видео, но во вкладке "Видео" оно должно быть на первом месте. Странно конечно
Есть. Реализуй протокол клиент-сервер, не забудь подкрутить рейты, чтобы тебя задосить не могли. И да, напрямую ничего на сервер не пересылай лучше, а прикрути апи.
В этом вопросе я полный ноль, поэтому даже примерно не знаю как это сделать. Буду гуглить и параллельно бампать коллекцией вебмов.