Вопросы есть:
1.По зашифрованным данным поиск и выборка из базы не предполагается?
2.Где планируете расшифроввывать данные: на промежуточном сервере или на клиенте (в браузере)?
3.Цель непонятна: защита от копирования/кражи хостером или ещё какая? (если есть доступ к скриптам работы с базой — украдут 100%)
Пока не вижу способа защиты, кроме хостинга подобного сервиса в доверенной зоне физического доступа и отдельный настроенный firewall. (ИМХО)
Поясняю: Вы своими действиями (запросами к серверу, не предусмотренными системой) забрали часть процессорного времени сервера на их обработку и, тем самым, замедлили формирование ответов другим пользователям на стандартные запросы.
Исходя из этого можно фиксировать факт того, что Вы своими действиями НАРУШИЛИ нормальное функционирование системы.
Т.е. «временное или устойчивое создание помех для их функционирования в соответствии с назначением» — Вы выполнили на 100%.
Удобный функционал, но это — обычный плагин для jQuery.
Надо тулбар после выделения (вместо желтой стрелки) туда вмонтировать (иконки): «Поделиться», «Прокомментировать», «Перевести на др. язык», «Здесь орф. ошибка!»,«Это спам!» и т.д.
Функционал отличный будет!
Longer, вопрос во времени. Я буду генерить код динамически и налету, а альтернативного клиента — придется постоянно править руками. Здесь про аську — вообще не в тему… Они у себя тоже меняли руками (на серверной стороне). При эффекте неожиданности (смена протокола с привязкой ко времени) с проверкой времени на ответ (TIMEOUT) сложность создания альтернативного клиента можно увеличивать до бесконечности.
я спросил у них — они ответили:
«Если у Вас украдут телефон, Вы тут же заходите по ссылке www.enum.ru/recovery.aspx
(воостановление) и инициируете восстановление доступа, после этого приложение на Вашем телефоне становится нерабочем и с его помощью невозможно авторизоваться в системе (злоумышленнику)»
Судя по кол-ву ошибок — у них все круто! :D
ntkt, почитав документацию появилось ряд новых идей в плане реализации. Если интересно — могу написать в своём блоге. (но не факт, что они будут ценными...)
Огромная благодарность ntkt за подробное изложение материала.
SRP-6 очень заинтересовал и пока первый претендент на участие в моём проекте.
SRP-6 без SSL насколько надежен и можно ли быть уверенным, что не сломают учетку пользователя через год-два?
Есть ли еще подобные альтернативы?
1.По зашифрованным данным поиск и выборка из базы не предполагается?
2.Где планируете расшифроввывать данные: на промежуточном сервере или на клиенте (в браузере)?
3.Цель непонятна: защита от копирования/кражи хостером или ещё какая? (если есть доступ к скриптам работы с базой — украдут 100%)
Пока не вижу способа защиты, кроме хостинга подобного сервиса в доверенной зоне физического доступа и отдельный настроенный firewall. (ИМХО)