Как безопасно передать данные на сервер?

Question

[Dima_kras]

Добрый день, есть веб сервер Apache + mysql хранит количество посетителей зашедших в магазин.
Нужно безопасно передать данные от счетчика на сервер. Счетчик - raspberry, стоит linux.
Сейчас данные отправляются post запросом, это не совсем безопасно. Вдруг злоумышленник отправит туда свои данные (вроде это никому не нужно, но вдруг)

Нужно как-то удостоверится что данные пришли именно от счетчика. Добавить авторизацию?

Answer 1

[Dmitry Bay]

1) Добавьте токен. Можете либо статичный использовать, либо автогенерируемый (от дня недели например).
Вероятно это самый просто способ, так как если у вас простая система, то вы никому особо и не нужны.
Записывайте при это IP откуда посылался запрос. Тогда сможете быстро отлифльтровать, если случится какая то фигня.

2) Можете использовать шифрование. Отправлять base64 с контрольной суммой, для сверки. Но это из пушки по муравьям бить.

Comments

[tempick]

ну насчет токена - это только если считать, например, авторизованных пользователей. Но у меня такое чувство, что автор имел в виду именно незарегистрированных (судяпо последнему предложению). Тогда что помешает злоумышленнику просто посмотреть, что отправляется в запросе и вытащить этот токен из запроса?

[tempick]

(я недоджуниор, может, чего-то не понимаю, не бейте палкой плиз)

[Dmitry Bay]

tempick, ну давайте посмотрим, как он сможет посмотреть что отправляется? Вскроет железяку? Подделает wifi?

[devalone]

Dmitry Bay, man arp spoofing, решается https и изолированием гостевой вафли

[Dmitry Bay]

devalone, не так быстро, пожалуйста. Я задавал наводящие вопросы.

Answer 2

[sim3x]

Достаточно
- давать доступ на nginx только для конкретного IP
- урл для поста сделать в виде рандомного набора букв-цифр
- использовать https на всем сайте

Answer 3

[Tekram]

Почитайте про x-csrf-token. Эта вещь отлично подойдёт в вашем случае.