دوست من بازگشت شما رو تبریک می گم.
در پاسخ به سوال شما مجبور به توضیح کوتاهی می شو م.
در برنامه های تحت وب به این صورت عمل میشه .
Request فزستاده میشه و همه فرم شما در server ساخته میشه .
چیزی که ما این ور به عنوان کلاینت می بینیم یک سری اسکریپت هست که حاصل اجرای فرم در server هست .
یادمون باشه که مقدار کدی که به سمت کاربر فرستاده میشه دیگه ما از اون به بعد رو نمیتونیم کنترل کنیم . یعنی کاربر می تواند هر تغیری
در اون لحاظ کنه . حالا سوال اینجا مطرح میشه که با وجود این همه تغیرات احتمالی پس امنیت تکلیفش چی میشه .:
تمام اعتبار سنجی ها هم در کلاینت و هم در server باید چک بشه .
خوب این همه صحبت برای اینکه به اینجا برسم . شما با تولید کد در کلاینت نمیتونید یک قفل رو چک کنید ... ( نه اینکه نشه حتا شما میتونید با سخت افزار خاصی ارتباط برقرار کنید ) چون احتمال هک آن وجود داره مثلا با firebug به راحتی میشه اسکریپت ارسالی به سمت server را
تغیر داد .
به نظر من میشه برای اینکه شما backdoor نداشته باشید از یک کانال مابین استفاده کنید .
یعنی برنامه ایی بنویسید که روی کلاینت نصب میشه و
1 - تولید رشته رندم میکنه و از اون یک url میسازه و در server اعتبار سنجی میشه و اگر در رنج معتبر باشه صفحه نمایش داده میشه .
PHP:
مثال : http:/softname.com/pagename?736b646c6b61736c6b646c616b73646c6b61
2- ورود به سیستم با رنج ip مشخص .
3 - اتصال به یک سخت افزار و برسی قفل .
اینا چیزایی هست که الان به ذهنم رسید . ولی روش فکر میکنم .
امیدوارم خسته کننده نشده باشه صحب های من .
اگر سوالی بود در خدمتم .
موفق و پیروز باشید .