Реализация доступа к сайту для запросов с определенных сайтов

Доброго времени суток, уважаемые форумчане!

Есть сайт "А", к которому будут обращаться другие сайты. Доступ к сайту "А" должен быть только у определенного списка сайтов, всем остальным доступ закрыт.

Реализация:
1 этап:
Если ip, с которого поступил запрос отсутствует в списке серверов, на которых находятся сайты с разрешенным доступом в доступе отказывается.
2 этап:
Если запрос произведен без соответствия уникального (для данного ip сервера и запроса) ключа в доступе отказывается.

В связи с тем, что есть вероятность хищения ключа и последующего получения доступа с его помощью с сайта на этом же хосте или с тем, что его владелец сможет его использовать на другом сайте, размещенном на этом же хосте требуется дополнительные меры безопасности, есть какие-нибудь соображения по устранени подобной уязвимости?

Тот сайт который "защищенный" сделать локальным бекендом, если нельзя - в любом случае проксировать с основного. Например запрос на основном:

-----
Шта? Репозиторий?

а что все это даст?

(Отредактировано автором: 23 Марта, 2015 - 18:25:27)

Гибкость настройки, в том числе и желаемой.

-----
Шта? Репозиторий?

Честно говоря не вижу новых возможностей в этом можете по подробнее описать о каких именно настройках идет речь

Не передавать ключ в открытом виде либо использовать ssl. Если же без ssl, можно подписывать запросы ключом.
Например, вот запрос к серверу А

Ts.Saltan
имеется ввиду кража ключа в случае получения доступа злоумышленником к одному из сайтов

Я так понимаю, нужна проверка, что запрос пришел именно от такого-то ip и такого-то домена, тогда можно сделать так.

1. Клиент подключается к серверу "А", сообщает ему в заголовке свой домен (например, в Referer), постоянно держит соединение не закрывая его.

Ts.Saltan
На сколько я понял информацию о домене предоставляет сам клиент, следовательно с точки зрения безопастности это дыра


в итоге каждый, кто получил этот ключ, получил доступ к сайту А, таким образом и это тоже дыра

Наддоело мне это слушать
Предоставь разные тарифы по количеству запросов в единицу времени
Потеряли ключ - ваши проблемы... запросы быстро закончились
Хотите один ключ на все ваши службы? Тоже не проблема берите максимальный тариф
(Добавление)
А еще есть такая штука называется oAuth

ну если надоело - не слушайте, вас никто не заставляет


это не подойдет, т.к. все запросы будут происходить в фоновом автоматическом режиме и никаких ограничений по их количеству быть не должно


да, хороший протокол, возможно его принцип будет взят для 3 этапа аутентификации, требуемого для решения следующей задачи:

(Добавление)
Уважаемые модераторы тему можно закрыть

ну тогда отслеживай всплески активности
если за неделю запросы выросли более чем на 20% меняй явки и пароли
ну и по ip проверять тоже можно но надо учесть что датацентр может его сменить не предупретив клиента
это только как совокупность мер

Нисколько.
Для того и предлагается "костыль" с обратной связью к переданному домену.
Даже если злоумышленник обратится с того же ip, но с другого домена, у него ничего не выйдет.

Насколько помню oauth какраз и исполняет типа тройного рукопожатия

да, хорошая идея, спасибо


доступ будет даваться только для выделенных ip. там не сменят же?)


Полностью с вами согласен, не правильно понял, что вы до этого написали
oAuth использует подобный алгоритм


именно, только в моем случае не требуется авторизация

Всем, принявшим участие в обсуждении, огромное спасибо! ! Удачи!