Protezione di un servizio Web utilizzato dall'estensione di Chrome

0

Sto cercando di pensare a un buon metodo di sicurezza per proteggere un servizio web consumato da un'estensione di google. Come noto, il codice sorgente dell'estensione di google chrome è aperto a chiunque. La mia estensione si occupa principalmente del contenuto fb dell'utente e talvolta invia richieste al servizio web.

Come sarebbe possibile proteggere il servizio web per assicurarsi che i messaggi provengano solo dall'estensione? Voglio evitare qualsiasi messaggio inviato da una terza parte che dichiara di essere l'utente originale.

    
posta M-T-A 01.07.2013 - 06:09
fonte

2 risposte

2

Non è possibile impedire a un utente di effettuare lo spoofing delle richieste. Il tuo framework dovrebbe essere tale che le richieste di spoofing inviate da un utente non dovrebbero avere importanza. Ad esempio, posso spoofare commenti POST richieste tutto ciò che voglio su Facebook, e otterrò solo un mucchio di commenti. Non ci sono restrizioni solo sul lato client che mi impediscano di fare qualcosa che non dovrei fare. Non riesco a postare in un gruppo chiuso modificando l'ID di gruppo in una richiesta POST. Il server bloccherà solo la richiesta. Se non vuoi che i tuoi utenti siano in grado di fare qualcosa, bloccalo sul lato server.

Tuttavia, ciò che puoi fare è usare un buon sistema di autenticazione utente per impedire a un utente di spoofing un'altra richiesta dell'utente. Collegarsi a OpenID o utilizzare un cookie di sessione persistente (per evitare di chiedere all'utente di autenticarsi ogni volta) e la propria autenticazione. Questo impedirà a un utente di falsificare la richiesta di un altro utente .

    
risposta data 01.07.2013 - 11:29
fonte
1

Impossibile.

Posso prendere l'estensione codice sorgente e spoofare qualsiasi richiesta che desidero. Posso persino modificare il contenuto della tua estensione (le estensioni di Chrome sono fondamentalmente Javascript, quindi è molto più semplice dell'aggiustamento del codice binario) e quindi lascia che l'estensione faccia ciò che voglio.

Non dovresti mai fare affidamento sul codice in esecuzione sul client. Ogni checksum, segreto condiviso o qualsiasi altra cosa può essere falsificato quando l'utente malintenzionato ha accesso al codice e alla configurazione.

    
risposta data 01.07.2013 - 11:06
fonte

Leggi altre domande sui tag