Клуб API Карт

защита yml-файла

CTRT
29 января 2010, 02:02

Заметил недочет в API. У меня есть сайт по аренде недвижимости, где данные хранятся в yml, и получается, что любой желающий может взять мой файлик и утащить мою ценную информацию себе. Давайте-ка научим сервер карт забирать yml, используя какой-нибудь ключ, или авторизовываться хотя-бы http-заголовками.

6 комментариев
Подписаться на комментарии к посту
Кто помешает злоумышленнику забрать ответ сервера API после того, как он сходит на ваш?

это как?

Сервер API забирает xml-файл с вашего сервера, переводит xml в js и отдаёт браузеру. Злоумышленник может открыть сайт с картой, посмотреть запросы к серверу API и получить доступ к этому js-ответу.
XMLHttpRequest вам в помощь)
+ можно код сделать нечитабельным. Много способов в голове сидит... иу10 глупостям не учит)
Королев Михаил
29 января 2010, 09:11

отдавайте yml только серверам яндекса, ну и пишите лог обращений - чтобы знать какие ip у яндекс серверов и оперативно реагировать на появление новых.

+ к этому можно попробовать отдавать yml по https, но не факт что api съест такое.


ну и помните что то что вы показываете - в любом случае можно утянуть, как вам выше и написали - хоть из JS возвращаемого браузеру хоть скриншотов наделать..