Шифрование запросов

[JanCarlo]

Добрый день!

Скажите пожалуйста, как можно зашифровать запрос и параметры?

Суть -
У меня в шаблоне есть 3 экшена, по мимо остальных
1) В переменных есть логин и пароль, в инстансе браузера в форму логина и пароля вводятся эти данные и дальше идет работа.
2) Есть гет запрос, который так же проходит авторизацию на сайте с передачей данных.
3) Есть удаленная база данных мускула, экшен делает к ней коннет (возможно сам экшен уже передает зашифрованно данные, не уверен)

При любом из этих действий я хочу зашифровать передаваемые данные, а еще было бы круто зашифровать вообще то место куда данные отправляются.

Шаблон передается заказчику, но в шаблоне идет проврка лицензии. Сама лицензия хранится на сервере. В гет запросе данные открытые - клиент их видеть не должен, но если отснифает запросы то увидит данные. Как все передаваемые данные надежно зашифровать? Как в гет запросе, так и через браузер и через коннект к бд?

Заранее спасибо

 

[Phoenix78]

ну зашифруешь ты тут данные, а на другой стороне кто будет расшифровывать ?
поэтому твой вопрос должен строиться на поиске возможности шифрования/дешифрования на стороне сервера/сайта/базы данных. вот если там есть возможность, тогда уже можно думать как шифровать на стороне зенки.

 

[p-sergei]

Как все передаваемые данные надежно зашифровать? Как в гет запросе, так и через браузер и через коннект к бд?

в этой продаваемой системе лицензий из этой темы помоему есть всё ответы на эти вопросы

https://zennolab.com/discussion/threads/license-snippet-dlja-zaschity-svoix-shablonov-pri-sdachi-v-arendu-na-test-prodazhi-rsa-shifrovanija.46585/

 

[Moonwalker]

Ну, хоть и другая задача в теме изначально, но я как раз хотел бы что-то, условно, в свой шаб вшить с подгрузкой данных из внешней БД, но при этом не хотел бы, чтобы если не запрос, то, как минимум, то, КУДА этот запрос отправляется, можно было отследить.
Условно, я говорю юзерам, что какие-то вещи шаблон подгружает из внешней базы, они даже согласны на это и могут даже видеть, что именно шаблон подгружает (или передает, если задача другая). Но при этом не хотелось бы светить саму базу и, главное, доступ к ней. Помнится, запрос в внешней БД к мускулу спокойно то ли Шарком снифался, то ли еще чем. Причем, там чуть ли не доступ к базе светился )))
Особо прямо критично пока не было, поэтому глубоко не копал, но было бы интересно почитать, как скрыть все это )) Скорее всего, какой-нить обвес к БД понадобится, чтобы через условный API с БД взаимодействовать.

 

[JanCarlo]

L

Ну, хоть и другая задача в теме изначально, но я как раз хотел бы что-то, условно, в свой шаб вшить с подгрузкой данных из внешней БД, но при этом не хотел бы, чтобы если не запрос, то, как минимум, то, КУДА этот запрос отправляется, можно было отследить.
Условно, я говорю юзерам, что какие-то вещи шаблон подгружает из внешней базы, они даже согласны на это и могут даже видеть, что именно шаблон подгружает (или передает, если задача другая). Но при этом не хотелось бы светить саму базу и, главное, доступ к ней. Помнится, запрос в внешней БД к мускулу спокойно то ли Шарком снифался, то ли еще чем. Причем, там чуть ли не доступ к базе светился )))
Особо прямо критично пока не было, поэтому глубоко не копал, но было бы интересно почитать, как скрыть все это )) Скорее всего, какой-нить обвес к БД понадобится, чтобы через условный API с БД взаимодействовать.

Да, вот как раз это и интересует)) Буду копать дальше. Точку коннекта скрывать то особо не вижу смысла, но вот передаваемые данные палить точно нельзя.

Если ресурс чужой, но дешифровку данных на нем настроить нельзя, тогда хз как передавать шифруемые данные.

Вопрос к знатокам. Если в шаблон привязать гугол таблицу, в которой к примеру лицензии прописаны, то при коннекте к этой таблицу будут ли как то палиться данные?

Чекну статейку выше что скинули тоже, спасибо

 

[Geograph]

Можно использовать SSL Pinning - проверять отпечаток сертификата перед отправкой запроса.

 

[sandal]

который половина данного форума знает как обходить.