クローム拡張機能からリモートデータベースを安全に更新するにはどうすればよいですか？

Question

私はこれを理解するのに本当に苦労しています。ウェブをクロールするのに約4時間を費やしたので、私を救うために投稿する必要はありません。私はすでにChromeの拡張機能を書かれている

1. 、Webページ（主にボタンのクリック）に、いくつかの特定のアクションをキャプチャ：

   は、シナリオを想像してみてください。そのアクションは、いくつかのユーザー情報とボタン情報（すべてページ上に存在する）をキャプチャして表示する機能をトリガーします。

2. これで、プラグインはこれをリモートのデータベース設定サーバ。

私はPHPに堪能（したがってMySQLは良い選択である）だので、私は更新がのみで、拡張子のみ自体から作られていることを確認するために解決策を探しています。

これは、http://remoteserver.tld/update-db.php?id=XXXX&action=YYYYY&foo=bar ....のようなGET/POSTリクエストを実行するのが最善の選択だと思います。しかし、ユーザーがプラグイン外のこのURLにポストヴァルを開いたりパスしたりするとどうなりますか？

データは更新され、完全性は失われます。

次のベストアイデアは、リクエストにキーを含めることでしたが、拡張機能はJSで書かれていました。ほとんどの人がキーを盗聴できます。

リモートサーバー上のデータベースを更新し、アクションが認証されていることを確認する最善の方法を教えてください。

乾杯！

Answer 1

ここでの問題は、基本的に認証の1つです。だれかがelsesデータストアを誰でも更新できるようにしたいのです。

最も顕著な修正点は、列挙するのが難しい（ハッシュが良い例です）拡張機能の単一のインスタンスにのみ割り当てられる（すべてのユーザーが独自の認証ハッシュを生成する）追加のパラメータを送信することです。

このハッシュを有効にするには、推測できないことが重要です。 ip-adressessやユーザエージェント文字列のような静的なものだけに基づいてハッシュを作成しないでください。

これらの静的な文字列を含めて、衝突の可能性を低くすることができます。 [pseudo] sha1（ip_address + user_agent + random_integer）。

基本的にはこれは次のようになります。 拡張機能に最初の実行時に現在のインスタンスのハッシュを生成させ、サーバーに最初に新しいインスタンスを登録するように要求します。このハッシュを持つ後続の要求はそのインスタンスに対して認証されます。

また、スニッフィングを防ぐためにSSL暗号化された接続を使用してください。

これを十字架のようなあいまいさのないセキュリティで解決しないでください。人々はそれを知ります。

問題がある場合は、データの完全性については、それを修正することはできません。マシンが行うすべてがそのユーザーの制御下にあるため（仮定して）、送信されるデータは常にユーザーが提供します。