HTTP-запрос к серверному api из плагина. Как на сервере защититься от подмены

Question

[flom]

Наверное не получилось вложить нужный смысл в заголовок.
Более полно проблема выглядит так. Пишется плагин под хром, который работает с серверным api. Как бы так извратиться и наверняка определить на сервере, что запросы ему шлет именно данный плагин. Отсеивать другие запросы.

Comments

[Talismanium]

О чем примерно плагин? если позволяет его логика — отправлять запросы «быстренько», чтобы отсеить всех ручных отправлятелей запросов.

Answer 1

[egorinsk]

Никак.

Чуть осложнить жизнь «подделывателям» можно, отправляя запрос по HTTPS, зашифрованным POST без параметров, только бинарное тело, и выставив неправильные HTTP-заголовки (если пришли правильные — значит подделка, пусть сидят гадают, почему, жалкие людишки). Отвечать сервер тоже должен нестандартно (всегда с кодом 200), бинарным ответом.

Но все равно взломаем, если понадобится.

Comments

[egorinsk]

О, еще сделать шифратор запрос на Flash, надежно обфусцировать его и вставить эту флешку в палгин. Пусть помучаются.

Answer 2

[avalak]

Почему бы не использовать OAuth?

Comments

[flom]

При чем тут oauth?
Еще раз. Представьте что есть некоторое api, доступ к которому осуществляется по http. Шлются запросы, возвращаются ответы. Нужно, чтобы api умело отличить посланные из хром-плагина запросы от всех остальных. Любой параметр, посланный в запросе может быть подсмотрен. Фактически можно полностью продублировать любой запрос не из плагина.

[avalak]

> Фактически можно полностью продублировать любой запрос не из плагина.
Ну. Защититься нельзя. А так каждый плагин будет иметь уникальную «метку», основанную на вашем же api (этим данным можно верить). Если поведение плагина будет отличаться от среднестатистического (=> кто-то использует api не из плагина) его можно забанить.
Что тут можно ещё посоветовать? Использовать https? Обфусцировать код плагина? Использовать NaCl? Писать говнокод чтобы затруднить жизнь желающему покопаться во внутренностях плагина?