Насколько реален сниф запросов с защищенного BAS-скрипта?

Metaferssance

Пользователь может отловить запрос к серверу фингерпринтов и снифнуть ключ фингера?
Или снифнуть к какому сайту идет запрос, если говорить о http-клиенте. (+ ситуации с проверкой лицензии на своем сервере подменить ответ)

Fox

@Metaferssance said in Насколько реален сниф запросов с защищенного BAS-скрипта?:

Пользователь может отловить запрос к серверу фингерпринтов и снифнуть ключ фингера?

https://customfingerprints.bablosoft.com/admin/database

17f0556d-8c37-4775-a876-be3f4a878898-изображение.png

Или снифнуть к какому сайту идет запрос, если говорить о http-клиенте. (+ ситуации с проверкой лицензии на своем сервере подменить ответ)

Отснифать можно всё, но можно усложнить задачу, например использовать свой сертификат в запросах и проверять его наличие на своём сервере

thepappo

@Metaferssance он там в открытом виде передается в качестве параметра гет запроса. В целом не понятно, зачем свой ключ встаривать в скомпилированный скрипт и кому-то передавать? К тому же, как Fox написал, это запрещено.

Bablosoft

Насколько реален сниф запросов с защищенного BAS-скрипта?

tor в BAS

BAS стал прожорливее

Баг с закрытием

Проблема с прокси

Проблема с foreach