Форум Пользователи Пыхослёт
новые сообщения ответы на мои сообщения избранное скрытые темы случайный топик открыть всё в новых вкладках

ФорумПрограммированиеPHP для идиотов → Запуск команды(функции на php) на сервере только при определенном условии

Запуск команды(функции на php) на сервере только при определенном условии

  • BigDildo

    Сообщения: 29 Репутация: N Группа: Кто попало

    Spritz 15 января 2012 г. 19:45

    Вот допустим есть некий сервер на php, который, что либо запускает через файл с расширение php и содержащий программу на этом языке.

    То есть клиент есть, который "заводит" удаленный файл. Не важно как он это делает. К примеру шлет гет или пост запрос. Важно вот что.
    Исходники клиента могут быть доступны (декомшпилить) допустим, и это означает, злой дядя сможет заводить сервер как ему хочется. К примеру делать это 500 раз в секунду.

    Вопрос: как заставить и клиент и сервер говорить на языке, который не понятен для злоумышленника? К примеру слать на сервер какой либо ключ, или что либо еще. Как такое сделать?

    Мне не нужна реализация когда, мне нужны названия технологий и принцип работы в теории.
    Спустя 34 сек.
    то есть условие не должно быть понятно плохому дяде даже после декомпиляции

  • AlexB

    Сообщения: 4306 Репутация: N Группа: в ухо

    Spritz 15 января 2012 г. 19:50, спустя 4 минуты 39 секунд

    Нехуя не понял …

  • master

    Сообщения: 3244 Репутация: N Группа: Джедаи

    Spritz 15 января 2012 г. 19:52, спустя 2 минуты 10 секунд

    не понял что значит "декомпилить", но есть же шифрование: AES, DSA, RSA и ssl-сертификаты
    не всё полезно, что в swap полезло

  • BigDildo

    Сообщения: 29 Репутация: N Группа: Кто попало

    Spritz 15 января 2012 г. 20:00, спустя 7 минут 37 секунд

    ладно, забудьте то что написано выше. Нужен простой способ посылать запрос с секретным ключом и способ принимать секретный ключ. Так чтобы при раскрытии исходников способ формирования ключа был непонятен или не съедобен человеку

  • kostyl

    Сообщения: 5210 Репутация: N Группа: Джедаи

    Spritz 15 января 2012 г. 20:04, спустя 4 минуты 28 секунд

    я вообще ключи не ем

  • phpdude

    Сообщения: 26646 Репутация: N Группа: в ухо

    Spritz 15 января 2012 г. 20:07, спустя 3 минуты 1 секунду

    чето похожее про RPC. но мне больше кажется дело тут шеллами попахивает, а люди которые в этой сфере работают обычно тугие в плане мат части, поэтому топик можно смело закрывать :)
    Сапожник без сапог

  • BigDildo

    Сообщения: 29 Репутация: N Группа: Кто попало

    Spritz 15 января 2012 г. 20:12, спустя 5 минут 11 секунд

    да нет ребята, не шелл
    Спустя 81 сек.
    ладно дело вот в чем. Есть у меня php скрипт который посылает СМС по запросу клиента.
    Спустя 16 сек.
    get запроса.
    Спустя 31 сек.
    то есть клиент говорит, меня зовут БОЛЬШОЙ ДИЛДО и Я ХОЧУ ПОСЛАТЬ СЮДА СМС
    Спустя 49 сек.
    но есть опасность того что злые люди просто напросто будут пользоваться моим скриптом (а там до фига смс.ок)
    Спустя 50 сек.
    как сделать так чтоб ысообщение мог посылать только Дилдо и его друг?))

  • phpdude

    Сообщения: 26646 Репутация: N Группа: в ухо

    Spritz 15 января 2012 г. 20:15, спустя 3 минуты 8 секунд

    цифровая подпись параметров get
    Спустя 40 сек.
    придумай ключ (соль), да подписывай набор парамтеров им и шли эту подпись(проверяй)
    Сапожник без сапог

  • lolcat

    Сообщения: 383 Репутация: N Группа: Кто попало

    Spritz 15 января 2012 г. 20:51, спустя 35 минут 12 секунд

    SSL обязательно нужен, и авторизация по паролю, да.

  • master

    Сообщения: 3244 Репутация: N Группа: Джедаи

    Spritz 15 января 2012 г. 21:05, спустя 14 минут 6 секунд

    гугли RSA (шифрование с открытым ключом)
    но защиту от MITM даёт только подписанный SSL-сертификат
    не всё полезно, что в swap полезло

  • Givi

    Сообщения: 2284 Репутация: N Группа: Адекваты

    Spritz 15 января 2012 г. 22:28, спустя 1 час 23 минуты 24 секунды

    Хз, я делал проще - по IP защиту мутил + простейшая авторизация на основе логина и текущей даты (алгоритм известен только отправителю и получателю, то есть только двоим). У меня, для моей узкой задачи, проблем никаких не возникало. Если же это для массового употребления, но нужно защита от левого использования, то тут да, наверное таки SSL поможет как нельзя лучше + относительно дешево.

  • phpdude

    Сообщения: 26646 Репутация: N Группа: в ухо

    Spritz 16 января 2012 г. 1:34, спустя 3 часа 5 минут 55 секунд

    цифровой подписи солью будет вполне достаточно
    Сапожник без сапог

  • lolcat

    Сообщения: 383 Репутация: N Группа: Кто попало

    Spritz 17 января 2012 г. 20:36, спустя 1 день 19 часов 1 минуту

    Я ТСу добрый дам совет: дай другу ssh-доступ на сервере и права на запуск необходимых вещей. Всё!
    А использование php тут как выключение/выключение света в сортире из комнаты при помощи веревочек, скрепок и швабры.

  • Fujin

    Сообщения: 23 Репутация: N Группа: Кто попало

    Spritz 18 августа 2012 г. 23:18, спустя 214 дней 2 часа 42 минуты

    Ладно, так что ваша голубая кровь от меня хочет

Пожалуйста, авторизуйтесь, чтобы написать комментарий!

наше все Форум Пользователи Пыхослёт Slack Тикеты
социализация
(ц) пыха.ру / с 2007 года         Total: 0.009s         Часовой пояс — Europe/Moscow
ПИПИСЬКА