【发布时间】:2010-03-15 04:10:19
【问题描述】:
我正在编写一个记录某些用户活动并在网页上显示一些统计信息的 firefox 插件。
当页面打开时,页面会向插件发送一个事件。 插件向页面添加数据并返回事件,页面刷新统计信息。
现在我如何确保扩展程序只将(敏感)数据放在正确的页面上,而不是其他恶意数据?
谢谢 V
【问题讨论】:
【发布时间】:2010-03-15 04:10:19
【问题描述】:
SSL。除非你在做一些奇怪的事情,否则唯一的攻击路线是中间人。
【讨论】:
插件必须通过服务器进行身份验证,可能使用用户提供的用户名/密码。服务器端需要控制哪些事件,以及它可以从客户端接受哪些用户。另请注意,所有身份验证都应通过 SSL 完成,以防止会话劫持。
【讨论】:
-
我没有看到 SSL 是如何出现在这里的...我有一个网页不与服务器进行任何通信,它所做的只是显示一些数据。插件获取数据并将其注入网页(以 CDATA 部分的形式)我需要一种方法让扩展在将数据注入之前识别这是合法页面....
-
@rep_movsd 我完全不知道你要防御什么攻击,你需要更新你的问题,否则你将得不到有效的答案。
-
“我需要一种方法让扩展程序识别这是合法页面”这就是 SSL 所做的。
-
假设我有一个页面 P 和扩展 E。P 从服务器加载一次,此后不再与服务器通信(它应该离线工作)。 E 记录数据并偶尔将更新添加到 P。现在我的代码只是检查 P 的 URL 是否正确。我不确定这是否足够安全。
-
那么唯一的攻击者将在本地系统上,因为 P 离线。您无法防御本地攻击者,他们只能反编译您的扩展并为所欲为。