0

我有兴趣推出一个新网站。让我们将其命名为 MYWEBSITE。它将具有 SSL,服务器将具有 DDOS 保护。

我想为一个利基实现一个简单的服务,其中一些数学运算发生在服务器上,并作为散列返回到请求的服务器/网站(这些信息应该足够了)。信息会很脆弱!

它将像这样工作:当网站向我的服务器发送数据时,服务器将使用 SHA256 返回一个散列字符串。每个网站都会在 MYWEBSITE 上拥有他的帐户,他可以在其中设置哈希密钥,以便他可以使用它来解密 MYWEBSITE 发送的数据。

我想知道在两个网站之间发送数据的哪种方法最安全。我正在考虑卷曲。

我也在考虑允许用户在他们的 MYWEBSITE 帐户中设置通信哈希键。这样,每个网站都会发送经过哈希处理的 cURL 数据和未经过哈希处理的用户 ID,以采取网络安全措施。我会从数据库中检索他的用户 ID,获取他的散列键并取消散列字符串。

这样,数据通过 cURL 安全传输。之后,我知道网站发送的数据。此数据将包含身份验证所需的网站密钥。之后,MYWEBSITE 可以返回网站的散列字符串。

当用户点击 websiteB 上的 buttonX 时,每个网站都会发送所有这些数据。

这种方法可以被用户或其他任何人通过网络黑客拦截吗?

4

1 回答 1

4

如果 websiteB 通过 cURL 连接到 MYWEBSITE,请确保连接已加密。

您可以使用 MYWEBSITE 中的有效 SSL 证书执行此操作,但请确保在 cURL 调用中检查该证书的有效性。安全程度取决于您和您的证书提供者是否对私钥保密;新闻报道称,某些政府通过强制证书提供商秘密泄露密钥,有效地使 SSL 变得多余。然而,对于大多数目的,这种方法仍然可以被认为是“足够安全的”。

另一种方法是让您使用经过良好测试的库进行自己的公钥加密。这样做的好处是更少的人可以访问私钥 - 只有您、您的业务人员和您的托管服务提供商可以获取副本。

请注意,安全性不是“开或关”的事情——您应该决定要保护哪些威胁,以及采取哪些合理的措施来减轻它们。因此,免费在线游戏所需的安全性可能远低于在线银行。我建议阅读Bruce Schneier以了解有关该主题的一些理论。

于 2013-11-13T19:54:32.000 回答