我有兴趣推出一个新网站。我们把它命名为MYWEBSITE。它将具有SSL,服务器将具有DDOS保护。
我想为一个利基实现一个简单的服务,其中一些数学运算在服务器上发生,并作为散列返回到请求服务器/网站(此信息应该足够)。信息将是脆弱的!
它的工作原理如下:当一个网站向我的服务器发送数据时,服务器将使用SHA256返回一个散列字符串。每个网站都将在MYWEBSITE上拥有自己的账户,在那里他可以设置哈希密钥,这样他就可以用它来解密MYWEBSITE发送的数据。
我想知道在两个网站之间发送数据的方法最安全。我正在考虑cURL。
我还想让用户在MYWEBSITE上的帐户中设置通信哈希密钥。这样一来,每个网站都会发送cURL数据哈希和他的用户ID未发送,用于网络安全措施。我将从数据库中检索他的用户ID,获取他的哈希键并取消该字符串。
这样,数据通过cURL安全传播。之后,我知道网站发送的数据。此数据将包含身份验证所需的网站密钥。之后,MYWEBSITE可以返回网站的哈希字符串。
当用户点击网站B上的buttonX时,每个网站都会发送所有这些数据。
这种方法是否可以被用户或任何其他人使用网络黑客拦截?
答案 0 :(得分:4)
如果websiteB通过cURL连接到MYWEBSITE,请确保连接已加密。
您可以使用MYWEBSITE中的有效SSL证书执行此操作,但请务必在cURL调用中检查该证书的有效性。这种安全程度取决于您和您的证书提供商是否保密私钥;据新闻称,某些政府通过强制证书提供商秘密泄露密钥,有效地使SSL变得多余。然而,在大多数情况下,这种方法仍然可以被认为是“足够安全”。
另一种方法是使用经过良好测试的库来进行自己的公钥加密。这样做的好处是,人们可以访问私钥的次数减少 - 只有您,您的业务人员和您的托管服务提供商才能获取副本。
请注意,安全性不是“开启或关闭”的事情 - 您应该决定要尝试防范的威胁,以及哪些措施可以合理地减轻这些威胁。因此,免费在线游戏所需的安全性可能远远低于在线银行的安全性。我建议阅读Bruce Schneier了解有关该主题的一些理论。