Restringir llamada a script, securizar

neodani · #1 (**permalink**) 04/01/2012, 15:21

Hola,

Estoy haciendo unas llamadas json que me devuelven datos que posteriormente proceso. Estas llamadas json las realizo tanto por GET como por POST, una de las ventajas de JSON es que te devuelve los resultados en un formato muy fácil de tratar y parsear.

Pero esto se convierte en un problema si piensas en las webs de la competencia que pueden ejecutar las mismas consultas (pq a través de firebug este tipo de peticiones se ven desde lejos) y obtener todos los datos que procesas y muestras "en bandeja".

Me gustaría saber si os habéis encontrado en una situación similar que queréis que la web sea pública pero que unicamente se puedan realizar peticiones json al script peticiones.php desde la propia web. Que si alguien intenta llamar a este script json no le devuelva ningun resultado o le redirija a la página 404

He pensado en bloquear las llamadas directas y sin venir del dominio de la web,

Código PHP:

Ver originalif (($_SERVER['HTTP_REFERER'] == "") and ($_SERVER['HTTP_REFERER']!='www.miweb.com')){
    die (Header ("Location: /404"));
    exit;
}

Pero todos sabemos que crear un site falso en local y hacer que vienes desde una página cuando en verdad no es cierto es sencillo.

¿Se os ocurren más ideas?

Muchas gracias de antemano

ocp001a · #2 (**permalink**) 04/01/2012, 15:44

mmm creo que otra forma es usando un token en sesión, una llamada externa no podría propagar el token.

neodani · #3 (**permalink**) 04/01/2012, 17:10

Uhmm... pero cómo lo harías?

Yo tengo un token de sesión que genero en mi fichero index.php

$token = md5(uniqid(rand(), true));
$_SESSION['Token'] = $token;

El problema es que cada vez que el visitante navega por la web, si cambia a otra sección de la web este token cambia. Porque toda la web gira entorno a mi fichero index.php

No veo la forma usando este token

emprear · #4 (**permalink**) 04/01/2012, 17:25

podes bloquear con .htaccess todo acceso a tus php si el referer no es de tu propio sitio

Código Apache:

Ver originalSetEnvIfNoCase Referer "^http://tudominio.com/" local_ref=1
<FilesMatch "\.(php)$">
Order Allow,Deny
Allow from env=local_ref
</FilesMatch>

convendria poner los php protegidos en una carpeta aparte, ya que si usas esto en la raiz, tu inicio no podria ser index.php, por ejemplo. Tambien podrias usar Files en lugar de FilesMatch.

Ejemplo
/index.php --> tiene un include a inc/a.php
/inc/a.php --> en esta carpeta el .htaccess con la restricción

De esa forma cualquier acceso a a.php que no fuera desde otra página del dominio arrojaría un error 403 (incluso el acceso directo via ingreso en la barra de direcciones en forma directa)

Saludos

neodani · #5 (**permalink**) 05/01/2012, 01:11

Veo muy restrictiva es politica.

¿No podría ser cualquier archivo .php del directorio /ajax? incluso se podría indicar el fichero concreto?

¿Habría algun problema con los buscadores?

Muchas gracias

emprear · #6 (**permalink**) 05/01/2012, 02:04

Podes aplicarlo a un archivo específico

Código Apache:

Ver original<Files "x.php">
 Order Allow,Deny
Allow from env=local_ref
</Files>

y todo es cuestión de que prioridad le des a la seguridad sobre otros aspectos
Saludos

ocp001a · #7 (**permalink**) 06/01/2012, 14:22

Un token que se genere con un rand cada vez que cambias de página no sería muy práctico, yo tengo esta función que genera el token:

function token($dbname,$ip){
return sha1(session_id().phpversion().$dbname.$ip.$_SERVE R ['REMOTE_ADDR'].$_SERVER['HTTP_USER_AGENT']);
}

No es estrictamente necesario pasarle el nombre de la bd y de la ip, aunque eso aumenta aún más la improbabilidad de que alguien genere un token igual.

neodani · #8 (**permalink**) 07/01/2012, 09:38

Cita:

Iniciado por ocp001a

Un token que se genere con un rand cada vez que cambias de página no sería muy práctico, yo tengo esta función que genera el token:

function token($dbname,$ip){
return sha1(session_id().phpversion().$dbname.$ip.$_SERVE R ['REMOTE_ADDR'].$_SERVER['HTTP_USER_AGENT']);
}

No es estrictamente necesario pasarle el nombre de la bd y de la ip, aunque eso aumenta aún más la improbabilidad de que alguien genere un token igual.

Interesante tu comentario, no había pensado en los problemas de tener un token excesivamente random (que cambien en cada página para el mismo usuario...).

Probaré algo como me indicas.

Respecto a que no se puedan realizar peticiones a un script concreto, la única forma es la de incluir tantos <FILE> ....</FILE> como archivos quiera proteger?