@anothere64

Как передать на сервер пароль из приложения в зашифрованном виде?

Всем привет! Пилю instagram бота для собственных нужд. Есть приложение на ПК/Смарсфоне, которое хранит пароли от аккаунтов instagram. В приложении так-же можно создать задание для бота (лайки, подписки и т.д.). Есть сервер на котором собственно работают скрипты бота (selenium webdriver + python).

Сейчас это работает таким образом:
  1. В приложении создается задание, например зайти в инсту с определенного аккаунта, найти хэштег, ставить лайки.
  2. Задание сохраняется в БД на сервере, вместе с логином и паролем от аккаунта.
  3. Скрипт на сервере автоматически, с определенным временным интервалом, выполняет это задание.

Так вот вопрос в том, как не хранить пароли от аккаунта на сервере? Или как-то передавать их и хранить в зашифрованном виде ? Но как тогда выполнять авторизацию?
  • Вопрос задан
  • 108 просмотров
Пригласить эксперта
Ответы на вопрос 2
fox_12
@fox_12
Расставляю биты, управляю заряженными частицами
Как вариант - авторизуйтесь с мобильного приложения, сохраните сессионные данные (куки, токен, что там еще апи при аутентификации выдает...) и перешлите их на сервер, чтобы сервер уже используя эти сессионные данные - обращался к апи.
Ответ написан
@rPman
Я так понимаю вы хотите защитить свои пароли от просмотра их администратором хостинга?
В общем случае никак!

Но значительно усложнить жизнь можно, если вы в принципе не будете их хранить на сервере а только в оперативной памяти, передавая их со своего другого надежного сервера или даже вашего компютера/мобильника (на случай перезапуска основного).

Например самое простое, передавайте все необходимые пароли при запуске бота через пайп, бот должен при старте тупо ждать, когда ему через пайп отправят пароль и только после этого работать, можно реализовать аларм если пароль долго не поступает (например выслать вам смс), ваш же локальный надежный сервер может тупо по ssh подключаться к серверу и отправлять пароль через stdin:
echo пароль | ssh ... cat > пайп.
Единственный способ админу хостинга вытащить этот пароль - это копаться в дампах памяти сервера или очень хитро модифицировать код используемых интерпретаторов, ssh или ядра linux (а это вы можете сами проконтролировать, установив свои версии всего используемого окружения вплоть до полноценной виртуалки, запуская ее каскадно). В общем стоимость атаки взлетает на порядки.

p.s. код вашего бота так же можно не хранить на сервере а передавать через пайпы
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы