24 декабря Архивач восстановлен после серьёзной аварии. К сожалению, значительная часть сохранённых изображений и видео была потеряна. Подробности случившегося. Мы призываем всех неравнодушных помочь нам с восстановлением утраченного контента!
Сапдвач. В тред призываются JS и другие программисты.
Сапдвач. В тред призываются JS и другие программисты. Я делаю публичное расширение в хроме, которое будет отправлять POST с картинкой на мой сервер. Вопрос: как мне защититься от тех, кто может залезть в код расширения и отправить POST вместо расширения?
В этом вопросе я полный ноль, поэтому даже примерно не знаю как это сделать. Буду гуглить и параллельно бампать коллекцией вебмов.
>>196211072 (OP) Ты сам на свой вопрос ответил. Проверяй что отправляется именно картинка, а не что-либо еще. Проверяй чтобы опрос был отправлен именно расширением. Или у тебя проблемы с реализацией как раз?
>>196211192 > Передавай еще HTTP-header какой-нибудь определенный
Код всех расширений открыт любому желающему. Его, разве что, можно обфусцировать, но это такое.. Я к тому, что Петров откроет код расширения и по-приколу отправит что-нибудь. Я хотел бы узнать как можно от этого защититься полностью, но сейчас я подумал, и понял, что для моих целей, в принципе, хватает и проверки такого header'а + проверки размера картинки, да и всё, наверное. Ну, побампаю ещё, посмотрю другие ответы.
>>196211337 В коде у тебя не должно быть значения заголовка. Ты его проставишь уже в раньтайме. посмотри, как любая авторизация работает, блжад. Никто не храниит в коде логины и пароли, их вводят пользователи. Сделай форму с логином и паролем у себя, пусть юзер вводит туда свои данные во время первого запуска расширения. Дальше он отправит тебе на сервак эти логин и пароль, ты выдашь ему куку, например, дальше он с этой кукой больше логин и пароль слать тебе не должен будет. Повторяю, все это вводится в рантайме, никакой код это не хранит.
>>196211785 Да это я сам ведь и написал, ха-ха-ха. Не знаю чего хочу. Спросил как это вообще делается, в голове каша сейчас. Ну вроде ход мыслей восстановлен. Не зря же все эти сайты с формами когда с ботами борются лишь немного каждый раз усложняют работу ботам, но 100% защиту сделать невозможно, вроде как. В общем, я понял как буду делать это. Спасибо за ответы. Пока не создал этот тред, не смог догадаться до правильного ответа.
>>196211919 Никак это не сделается, любой даун отснифать свой трафик сможет. Ну или тупо твой код поизучает и поймет. >обфускация
Другие улучшения безопасности расширений Запрет на обфускацию кода Разработчики расширений также столкнуться с рядом изменений. Расширения, которые используют обфусцированный код будут запрещены в Интернет-магазине Chrome. Размещенные на площадке расширения, которые используют обфускацию кода, получат 90-дневный переходный переход, чтобы избавиться от нечитаемого кода. Если по истечении данного периода обфускация не будет исключена, расширение будет удалено из магазина. Новым расширения с обфусцированным кодом будет отказано в размещении сразу же.
>>196211337 обьясни тупому, как вы в коде скроете значение заголовка? Я представляю себе что post-запрос формируется в коде явно, и можно увидеть в коде все заголовки которые нужно отправить с ним
>>196211382 Есть. Реализуй протокол клиент-сервер, не забудь подкрутить рейты, чтобы тебя задосить не могли. И да, напрямую ничего на сервер не пересылай лучше, а прикрути апи.
В этом вопросе я полный ноль, поэтому даже примерно не знаю как это сделать. Буду гуглить и параллельно бампать коллекцией вебмов.