我有兴趣推出一个新网站。让我们将其命名为MYWEBSITE。它将具有SSL,服务器将具有DDOS保护。
我想为利基市场实现一个简单的服务,其中一些数学运算在服务器上发生,并作为散列返回到请求服务器/网站(此信息应该足够)。信息将是脆弱的!
它将像这样工作:当一个网站将数据发送到我的服务器时,服务器将使用 SHA256 返回一个散列字符串。每个网站都将在MYWEBSITE上拥有自己的帐户,他可以在其中设置哈希密钥,以便他可以使用它来解密MYWEBSITE发送的数据。
我想知道在两个网站之间发送数据的哪种方法最安全。我正在考虑cURL。
我还在考虑允许用户在MYWEBSITE上的帐户中设置通信哈希键。这样,每个网站将发送经过哈希处理的cURL数据,并发送未散列的用户ID,以采取网络安全措施。我会从数据库中检索他的用户ID,获取他的哈希密钥并取消哈希字符串。
这样,数据通过cURL安全地传输。之后,我知道网站发送的数据。此数据将包含身份验证所需的网站密钥。之后,MYWEBSITE 可以返回网站的哈希字符串。
当用户点击网站B上的buttonX时,每个网站都会发送所有这些数据。
使用网络黑客可以由用户或其他任何人拦截此方法吗?
如果网站 B 通过 cURL 连接到 MYWEBSITE,请确保连接已加密。
您可以使用 MYWEBSITE 中的有效 SSL 证书执行此操作,但请确保在 cURL 调用中检查该认证的有效性。安全程度取决于您和您的证书提供商是否对私钥保密;新闻中声称,某些政府通过迫使证书提供商秘密泄露密钥,有效地使SSL变得多余。然而,就大多数目的而言,这种方法仍然可以说是"足够安全"。
另一种方法是使用经过良好测试的库进行自己的公钥加密。这样做的好处是,访问私钥的人较少 - 只有您,您的业务人员和托管服务提供商可以复制。
请注意,安全性不是"打开或关闭"的事情 - 您应该决定要防御哪些威胁,以及采取哪些措施来缓解这些威胁是合理的。因此,免费在线游戏所需的安全性可能远低于网上银行的安全性。我建议阅读布鲁斯·施奈尔(Bruce Schneier)以获取有关此主题的一些理论。