niklaskamenisch: Same-Origin-Policy

Beitrag lesen

hi,

Ahso, wenn Du den Service befreundeten Seiten zur Verfügung stellen willst, geht das natürlich so nicht. Du brauchst eben irgendeine Art Authentifizierung. Zum Beispiel: Du und Dein befreundeter Server einigt auch auf einen Code, der per URL mitgesendet wird und ausgewertet wird. Weiterhin könnte sich dieser Code über die Zeit ändern. Nach einer Vorschrift, die eben Zeitabhängig ist, die aber nur ihr kennt.

Beispiel (nicht getetsted):
$Code = md5(date("yzH")."password"); // wechselt stündlich: Z.B md5(1315517."password")

Bei "password" könntest Du diesen Algorithmus noch etwas individualisieren.

Du müsstest stets den aktuellen und den Code der letzten Stunde zulassen, damit es beim Stundenwechsel nicht zu unschönen Ablehnungen kommt.

Da würde ich persönlich noch etwas wie die ersten 2-3 Blöcke der IPv4 dazu nehmen um es an den Client zu binden. Dann kann kein fremder Server sich den code holen auf seiner seite verwenden usw. Weil genau solche Spielereien denke ich mir ab und an aus ... (Server1 frägt Server2 nach code, gibt diesen dem Client und der Client schickt dann die Anfrage an den 2. Server => Schutz geknackt => also IP oder so etwas einbeziehen)

Gruß Niklas

--
Man muss nicht alles wissen, man sollte aber wissen, wo das nicht gewusste zu finden ist.