2

我有一个连接到我的网站以验证用户数据(硬件 ID)的应用程序,但如果有人在 windows 主机文件中放入一行,它可能会被转发到另一个站点。然后它得到坏数据,我的应用程序被欺骗(破解)。

那么,如何检测我的网站是通过 hosts 文件还是其他应用程序中继?

4

2 回答 2

2

您能否对数据进行加密签名(可能为每个客户端加盐)?客户端可以拥有公钥,您可以(安全地)使用它来证明数据来自您的服务器。

于 2010-10-12T21:48:14.900 回答
1

使用 SSL 并拒绝使用无效的客户端证书进行操作。这样,通过主机伪造的请求(或任何其他重定向您连接到的位置的方式)将不会通过,代理无法看到它,并且代理与证书玩中间人将不会接受(想想当您使用 Fiddler 调试 HTTPS 流量时,您如何在浏览器上收到“您信任”消息;您的应用程序将相当于说“不,我不”)。

于 2010-10-12T22:04:16.940 回答