Cómo evitar el acceso al almacén seguro de datos entre dominios

Navega tus respuestas
-1

Tengo un cliente que necesita poder proteger un sitio de datos de piratas informáticos. Esta es la metodología que estamos estudiando actualmente:

server.com (servidor web) - > Solicitud de API HTTP JSON - > dataStore.net (servidor de datos).

No quiere forzar a las personas a que se autentiquen solo para visitar server.com . La autenticación sería necesaria solo para acceder a dataStore.net . La llamada javascript entre dominios es posible a través de CORS, pero CORS no es seguridad.

Necesito evitar: some-person.com - > Solicitud de API HTTP JSON - > dataStore.net

¿Alguna idea sobre cómo lograr esto?

    
pregunta SpokaneDude 30.07.2014 - 01:21
fuente

2 respuestas

1

Por favor, tenga en cuenta que mi respuesta se basa en suposiciones. Si edita su pregunta para aclarar, hágamelo saber y actualizaré mi respuesta.

De tu diagrama

  

server.com (servidor web) - > Solicitud de API HTTP JSON - > dataStore.net (servidor de datos).

parece que se está conectando a datastore.net desde su servidor.

Sin embargo, al mencionar CORS, tengo la impresión de que los siguientes diagramas son más precisos:

user —> HTTP request —> server.com

user -> HTTP JSON API request —> datastore.net

?

  

La autenticación sería necesaria solo para acceder a dataStore.net.

Esta declaración agrega más peso a mi suposición.

Si este es el caso, entonces su autenticación debe tener lugar en datastore.net (no server.com ). Solo las solicitudes autenticadas deben poder acceder a los datos en datastore.net . También mencionas que no deseas que los usuarios se registren. Si desea proteger sus datos en datastore.net , solo debe permitir que los usuarios autenticados se conecten, por lo que el registro es realmente necesario.

La otra opción es permitir que solo server.com se comunique con datastore.net (primer diagrama), es decir, acceso del lado del servidor a la API. Esto significa que datastore.net es efectivamente un servidor de servicios de fondo y no necesita ser visible en Internet (para el tráfico entrante que no sea de server.com ).

    
respondido por el SilverlightFox 30.07.2014 - 15:24
fuente
2
  

Necesito evitar: some-person.com - > Solicitud de API HTTP JSON - >   dataStore.net

Es importante comprender que, si alguien quiere obtener datos de su almacén de datos, puede usar cualquier proxy web para eludir las políticas de origen cruzado.

No está claro lo que está preguntando aquí, pero recomendaría retirar dataStore.net de Internet, ponerlo en una red privada y dejar que el servidor back-end de Server.com hable con él a través de la red interna. Alternativamente, si necesita estar en Internet, puede permitir que server.com back-end se autentique y rechace cualquier otra solicitud.

De esta manera, los usuarios pueden seguir siendo server.com sin registrarse, pero su almacén de datos estará protegido.

    
respondido por el valentinas 30.07.2014 - 06:23
fuente

Lea otras preguntas en las etiquetas

contraseña de hash del lado del cliente y del servidor [duplicado] ¿Cómo funcionan los certificados SSL / TLS?