È stato suggerito su StackOverflow di provare la mia domanda qui. Questo è letterale:
Quindi, è impossibile fare richieste AJAX in modo sicuro senza usare SSL. Capisco. Puoi visualizzare i dati che vengono inviati tramite Javascript, oppure puoi accedere direttamente alla pagina PHP spoofando le intestazioni, yada yada.
Ma diciamo che questa web app non richiede in particolare la sicurezza true , e invece è solo una sorta di gioco per tenere a bada la maggior parte dei reverse-engineer. Che tipo di ostacoli dovrei assumere?
Non sto cercando un'implementazione ridicolmente esagerata di Javascript di un algoritmo di crittografia. Voglio la semplicità e la sicurezza lieve ... se ciò non è contraddittorio per natura. Quindi, cosa consiglieresti ragazzi?
Ad esempio, sto organizzando un contest in cui se un utente fa clic su un'immagine con successo (jQuery), passa il suo userid e un timestamp a una pagina PHP, sia MD5 salato da dati casuali e quindi codificato con MIME. La pagina PHP quindi convalida questo userid e timestamp, quindi restituisce un "codice" vincente sotto forma di un altro hash MD5 salato. Sto anche impiegando più controlli di intestazione per garantire che la richiesta provenga da una posizione valida. Mi sto perdendo qualcosa, o è tutto quello che posso fare? Sembra che qualcuno potrebbe semplicemente attivare l'evento click di jQuery e rovinare tutto, ma non vedo come posso impedirlo.
Assegnerò la risposta a tutti coloro che inventano un ingegnoso meccanismo di sicurezza del falso! O ... solo chi mi dice perché sono stupido questa volta.