Как повысить безопасность и стоит ли?

Question

[kot-samolet]

Суто в том, что сайт генерирует и раздаёт людям html-код форм обратной связи, в коде у формы прописан action вида site.ru/get/48 где 48 - это его id на моём сайте.
Значит если у формы случайно или специально изменить id на 47 например, то данные будут приходить другому участнику системы. Можно сгенерить md5 хеш и будет action вида site.ru/get/a67sfgagf79af5gds67fgfds67g тут случайно его уже не перепутать 100% но какие-то данные послать на него можно.
CSRF метод не доступен, форма на чужом сайте.
Проверить что именно этот сайт в реферере? Ну технически его можно подменить хотя это уже надо целенаправленно заморочиться...

Comments

[Дмитрий Кузнецов]

У меня конечно форма на том же сайте, где и скрипт. Я делаю так:
Получаю этот id из post запроса, сравниваю id и со своим, если всё верно - продолжаем код, иначе редирект.

[kot-samolet]

Дмитрий Кузнецов, рекомендую перейти вам на csrf тогда

[Дмитрий Кузнецов]

kot-samolet, тоже думаю стоит)

Answer 1

[Everal]

добавь уникальный ключ в поля и сравнивай его у себя на сервере с тем что ты получил для этого пользователя

Comments

[kot-samolet]

так он в открытом доступе в скрытом поле формы будет, посмотреть его проблем не составляет

[Алексей Скобкин]

kot-samolet, Но если этот ключ будет уникален и не последователен (UUID, SHA-256), взяв ключ одного клиента нельзя будет отправить сообщение другому. А сейчас можно легко сделать спам-рассылку по всем вашим клиентам посмотрев код на сайте одного из них.

[Everal]

достаточно сделать ключ вида

мд5(ИД+соль)
и никто уже не угадает что у другого пользователя.

Answer 2

[Алексей Скобкин]

Если ваши клиенты могут себе позволить встраивать форму не только в виде HTML/JS, но и в бэкэнд, то вы можете пользоваться цифровой подписью. Каждый клиент получает некоторый ключ, на основе которого подписывает сообщения на сервере перед передачей вам. Вы же после этого сможете точно знать, что оно отправлено именно с сервера клиента, а не кем-то, кто подсмотрел код на фронтенде.

Comments

[kot-samolet]

Мысль конечно )) Но мне кажется слишком сложная заморочка для такой простой вещицы ))

[Алексей Скобкин]

kot-samolet, Ну сами подумайте: если код исполняется только на клиенте - вы никак не сможете его защитить от подделки. Заголовки типа referrer (которые уже кто-то предложил использовать выше) подделываются элементарно.
Как-либо проверять подлинность вы сможете только подмешивая закрытую, недоступную для клиента составляющую.
Но в любом случае, вам стоит к site.ru/get/48 добавить ещё какой-нибудь токен, а то как я уже писал выше, сделать спам-рассылку по вашим клиентам - элементарная задача. Идентификатор убирать не обязательно. Главное сделать невозможной работу без как минимум одного не предсказуемого параметра.

[kot-samolet]

Алексей Скобкин, я понимою, в этом и суть, мне неужен РАЗУМНЫЙ уровень безопасности, например, если проверять referer в $_SERVER то нельзя уже будет сделать рассылку не зная всех адресов сайтов клиентов.

[Алексей Скобкин]

kot-samolet, Логично. Всё зависит от того, чего хотите вы. Для разных людей "разумным" будет разный уровень защиты.

[Алексей]

kot-samolet, про $_SERVER писал.
Использую его так:
при загрузке формы на стороннем сайте рождаю куки в которые кодирую с кодовым словом:
HTTP_REFERER, Время (у меня стоит 3600 - это должно хватить для заполнения и отправки формы)
при получении формы проверяю:
HTTP_REFERER закодированный в куке = HTTP_REFERER в $_SERVER = домену которым я разрешил - то вывожу нужный результат - если нет, то вывожу рекламу.

Как и писал в вопросе, что если не сильно заморачиваться то подойдет, если заморочиться то обойти можно.

[kot-samolet]

Алексей, так и надо было написать развёрнуто