Задать вопрос
@DecafNickel

Как реализовать приглашение пользователя посредством GET-запроса?

Добрый вечер, товарищи.
Задался не так давно вопросом, но в голову ничего не лезет.
Пытаюсь придумать способ реализации приглашения на сайт через ссылку. Ясно, что тут используется GET, однако все комбинации передаваемого значения можно спарсить (сниффить, если угодно), и это является главной проблемой.
Товарищи с других ресурсов подсказали генерировать длинные хеши и использовать https. Однако, думаю что длина значения тут роли не играет, а ssl сертификат, увы, не имею.
Надеюсь на своевременный отклик.
  • Вопрос задан
  • 325 просмотров
Подписаться 1 Средний 1 комментарий
Пригласить эксперта
Ответы на вопрос 3
@stratosmi
а ssl сертификат, увы, не имею.

Let's Encrypt
Ответ написан
Taraflex
@Taraflex
Ищу работу. Контакты в профиле.
Длинные хеши помогут от перебора со стороны, но также не стоит забывать, про то что в 2019 году практически невозможно передать ссылку безопасно, даже если невозможно её подобрать.
Почта, мессенджеры, соц сети - какой источник не возьми, везде идет анализ текста сообщений на наличие ссылок, а зачастую еще и создание превьюшек для них.
Как вариант решения проблемы - отправка кода на сервер через js код, который было бы трудно эмулировать на сервере. Подобным образом работаю некоторые сервисы защиты от DDOS.
То есть, после того как пользователь перешел по ссылке, не сразу авторизовываем его, а просим выполнить какое-нибудь простенькое действие (в стиле нажми на кнопку), которое уже запустит редирект на настоящий url авторизации.
Конечный Url естественно не перессылаем открытым текстом - можно вычислять его на основе первого хеша или спрятать в загружаемых ресурсах (в пикселях фоновой картинки например или в шрифтах).

SSL никак вам не поможет - оно про другое.
Ответ написан
Комментировать
@BorisKorobkov Куратор тега PHP
Web developer
Отправлять обычную ссылку с некоторым кодом. Она все равно одноразовая.
Чтобы она случайно не сработала от превью соцсетей, по ссылке можно сделать не сразу действие, а post-форму регистрации (или хотя бы редирект с помощью js).

P.S. Про http/ftp забудьте навсегда. На всех ваших сайтах используйте только https/sftp.
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы