Diciamo che abbiamo un'applicazione desktop e un'applicazione web. L'applicazione desktop carica i file sul server utilizzando le richieste POST all'applicazione Web.
Quali sono le possibilità (tranne l'uso di certificati e nome utente / password) per scoprire che la richiesta POST proviene dalla nostra applicazione desktop e non da un utente malintenzionato? In altre parole, come assicurarsi che nessuno stia utilizzando lo script di caricamento per inondare il server di file dannosi?
HTTPS dovrebbe essere l'impostazione predefinita per tutto. Puoi utilizzare un certificato autofirmato per GRATIS e codificare il certificato con il tuo client desktop. Qualsiasi altra cosa sarebbe un grave errore.
Ma vorrei essere chiaro, questo non impedisce ad un hacker di accedere a questa interfaccia. Niente sarà mai in grado di farlo perché l'utente malintenzionato sta eseguendo il client sulla sua macchina e lì ha il controllo completo. SSL protegge solo i dati in transito e garantisce che vengano consegnati alla persona giusta.
Leggi altre domande sui tag file-upload