Программирование, т. 5.1.

а окончание когда?

В следующем

ты свои пароли и данные кредиток по хттпс гоняешь

сразу поймет, что и куда отправляется. Сможет легко подделать запрос в браузере и нарушить работу системы

От этого то https каким образом защитит?

ты не знаешь в принципе что за сообщение шлется. ну то-есть ты можешь послать такое же, но по сессии не найдет ключ. то-есть сервер не сможет расшифровать твое сообщение.

а шифрование на клиенте как?

что вообще за шифрование на клиенте?

а окончание когда?

В следующем

хуячь веб. или задрачивай юнити/хуюнити для писания игрушек. успеешь.

Да чет юнити показался убогим пиздец. Скачал песочницу cryengine3 так там одну текстуру добавлять целый ритуал, забил хуй, продолжил срр билдер изучать

На юнити вообще реально без своего дизайнера с шаровыми текстурами что-то стоящее слепить?

Реально

Не бомба конечно, но разобраться сможешь имхо

тестерам тут не рады

 

не овни плез ((((999

я правда надеюсь что когда ты уйдешь из твоего фриланса, а то чем ты сейчас занимаешься и есть фриланс, и будешь работать в крупной компании, то будешь сам тестить свой функционал

удачки бро

твой код идеальный и багов нет

ты не знаешь в принципе что за сообщение шлется. ну то-есть ты можешь послать такое же, но по сессии не найдет ключ. то-есть сервер не сможет расшифровать твое сообщение.

Я могу поставить прокси (разными способами, не суть) который будет использовать мой сертификат вместо настоящего. Конечно он скорее всего не будет сертифицирован, но никто ж не мешает мне добавить мой центр сертификации в доверенные? Ну или, если программа проверяет его каким-то своим сертификатом, заменить его в ней? А раз я поменял сертификат на свой - я могу расшифровать трафик и посмотреть что и как там шлется.

ты свои пароли и данные кредиток по хттпс гоняешь

сразу поймет, что и куда отправляется. Сможет легко подделать запрос в браузере и нарушить работу системы

От этого то https каким образом защитит?

https сессии не подделываются вообще-то

ты не знаешь в принципе что за сообщение шлется. ну то-есть ты можешь послать такое же, но по сессии не найдет ключ. то-есть сервер не сможет расшифровать твое сообщение.

Я могу поставить прокси (разными способами, не суть) который будет использовать мой сертификат вместо настоящего. Конечно он скорее всего не будет сертифицирован, но никто ж не мешает мне добавить мой центр сертификации в доверенные? Ну или, если программа проверяет его каким-то своим сертификатом, заменить его в ней? А раз я поменял сертификат на свой - я могу расшифровать трафик и посмотреть что и как там шлется.

нeт

Да причем тут сессии, если я правильно понял - парень не хочет чтобы кто-то знал протокол общения с сервером. https с этим не сильно поможет. Конечно если речь о mitm то да, https для того и нужен.

Что нет?

http://security.stackexchange.com/questions/19616/why-is-it-possible-to-sniff-an-https-ssl-request

На почитай.

если не соглашаться на левый сертификат, то это хуй получится

кто тут с Unity копался, киданиет годных ссылок на статейки или видео

Я понимаю что если не соглашаться то ничего не будет, еще раз говорю - если я правильно понял что он написал, то он не хочет чтобы знали по какой урлке что отправляется из его клиента, а не защитить клиентов от mitm. А если я захочу это узнать, соглашусь и с поддельным сертификатом.

Я понимаю что если не соглашаться то ничего не будет, еще раз говорю - если я правильно понял что он написал, то он не хочет чтобы знали по какой урлке что отправляется из его клиента, а не защитить клиентов от mitm. А если я захочу это узнать, соглашусь и с поддельным сертификатом.

Программа периодично делает запрос вида "http://myurl.com/uri/user=username&action=check"

Сервлет возвращает какую-то информацию в виде текста и меняет значения некоторых полей в бд.

Если кто-то сделает такой запрос в браузере, то он получит ответ, а пользователь не получит, потому что данные будут помечены как просмотренные. Надеюсь понятно объяснил. Поэтому я думал шифровать только часть user=username&action=check, а на сервере расшифровывать и возвращать ответ. Такие дела :)

пароль прикрутить к юзернейму не судьба?

пароль прикрутить к юзернейму не судьба?

Кстати, хорошая идея. Я так авторизацию делал, а про другие запросы не подумал даже.

Спасибо большое :)

да это очевидные сессии

для создания сессии нужно сначала идентифицировать юзера, а это пароль

а как он по твоему будет его идентифицировать изначально? он же собрался отправлять ?user=huylo

ну значит будет отправлять user=huylo&password=olyuh

ага, гетом, а пасс хранить в локалсторадже, смешно

ему все равно придется авторизовываться, глупо полагать, что он беспокоится что кто-то перехватит его пост запрос, поскольку он явно новичек