On Thu, 06 Dec 2012 20:43:45 +0100, Cezary Tomczyk wrote:
> W dniu 2012-12-06 12:53, HARY pisze:
>> On Wed, 05 Dec 2012 23:10:32 +0100, Cezary Tomczyk wrote:
>>> Powiedzmy, że jest taki oto request:
> No ale algorytm jest publiczny i siedzi w JavaScripcie. Więc znając
> algorytm i URL można go łatwo odkodować.

Odniosłem się do tego:

=============
Co mnie martwi mimo SSL-a?

- URL zostaje zapisany w logach serwera, a także może być po drodze w
proxy
- Zostaje ślad w historii, która jest w przeglądarce; a także możliwe,
że niektóre pluginy gromadzą sobie takie dane
- URL może być wysłany do Google Analytics i tym podobnych serwisów
=============

I uznałem, że Ci wystarczy, żeby argumenty były widoczne "na żywca" w
różnych miejscach, gdzie mogą się dostać.

> Ja myślałem o tym, by użyć publicznego klucza z serwera, zakodować,
> wysłać i na serwerze za pomocą klucza prywatnego odkodować. Ale to
> rozwiązanie na razie nie przejdzie.

1. Logowanie z formularza i POST. Zwykły HTML wystarczy.

2. Na serwerze szyfrowanie jednokierunkowe i przekierowanie GET (do
adresu URL/?arg=hash).

3. W dalszych działaniach JS nie musi nic wiedzieć o szyfrowaniu, ma
tylko "podać dalej" otrzymany hash, a serwer za każdym razem sprawdzić,
czy hash jest poprawny.

Chyba że nie kumam, do czego zmierzasz.

HARY


--
Newton's Fourth Law: Every action has an equal and opposite satisfaction.