|
[ maxa @ 22.11.2006. 19:24 ] @
| Zdravo,
Male nedoumice tj. neznanje oko sigurnosti.
Flash treba da posalje rezultate php stranici koja to ubacuje u bazu. Ali ako neko uzme i cacka malo po flashu moze da nadje URL od te stranice i da lazira unos.
kao npr. kada igras flash igricu i na kraju igre vrsi se ubacivanje poena u bazu preko php stranice.
Koji bi bio najsigurniji nacin da se izbegne lazno ubacivanje rezultata?
Hvala |
[ milantrax2005 @ 23.11.2006. 15:32 ] @
Recimo u PHP-u stavi na pocetak:
Code:
header("Expires: Mon, 31 Januar 2000 05:00:00 GMT");
header("Last-Modified: " . gmdate("D, d M Y H:i:s") . " GMT");
header("Cache-Control: no-store, no-cache, must-revalidate");
header("Cache-Control: post-check=0, pre-check=0", false);
header("Pragma: no-cache");
da browser ne bi kesirao, a SWF najbolje ekriptuj posto se iz njega moze videti i putanja skripta i varijable koje mu saljes...
[ maxa @ 23.11.2006. 16:50 ] @
Hvala,
a dali postoji neka vrsta zastite protiv:
www.sajt.com/unos.php?ime=blabla&poeni=123456
tj. da ne moze ovako direktno u browser da se ukuca vec da samo flash aplikacija moze da prisjtupi toj strani i ubacuje rezultate??
[ milantrax2005 @ 23.11.2006. 19:14 ] @
Najmanje glavobolje ces imati ako jednostavno enkriptujes taj SWF,nasuprot silnim proverama koje mozes da uradis bilo server-side ili u Flash-u preko AS.Pogledaj prilog i reci mi kojoj skripti ovaj SWF salje podatke i koje podatke ?
[ maxa @ 23.11.2006. 19:51 ] @
constants 'nasumice', 'sanducic', 'LoadVars', 'POST', 'mejlovi.php?', '&ime=', 'ime_p', '&mejl=', 'mejl_p', '&poruka=', 'poruka_p', 'sendAndLoad', 'onLoad', 'rezultat', 'dobro'
mejlovi.php?&ime=ime_p&mejl=mejl_p&poruka=poruka_p
jel to to  )
[ mulaz @ 23.11.2006. 20:17 ] @
jos uvek oze nekim tcpdumpom da se pokupi i adresa i output i da se lazira.. a ssl je opet velika komplikacija
[ kelja @ 23.11.2006. 20:39 ] @
Citat: maxa: constants 'nasumice', 'sanducic', 'LoadVars', 'POST', 'mejlovi.php?', '&ime=', 'ime_p', '&mejl=', 'mejl_p', '&poruka=', 'poruka_p', 'sendAndLoad', 'onLoad', 'rezultat', 'dobro'
mejlovi.php?&ime=ime_p&mejl=mejl_p&poruka=poruka_p
jel to to :))
Da li koristis onu firefox extenziju?:-)
[ milantrax2005 @ 23.11.2006. 23:39 ] @
Cekaj jesi li dekriptovao SWF?
Jesi li gledao iz ASV 5-ice???
[ milantrax2005 @ 24.11.2006. 00:17 ] @
[ maxa @ 24.11.2006. 08:20 ] @
Citat: milantrax2005: Cekaj jesi li dekriptovao SWF?
Jesi li gledao iz ASV 5-ice???
ne znam sta sam uradio, googl mi zavrsio posao i za 5 minuta imao sam resenje. Nisam koristio ASV vec onaj pre njega tj. procitaj http://www.gotoandplay.it/_articles/2004/04/swfProtection.php, odlican clanak za zastitu mada sam vecinu toga vec znao.
Moja ideja o zastiti je slicna sa idejom iz clanka tj. da se sve vazne stvari ostave na server stim da se u flash importuju AS skripte.
Npr.
napravis folder "flashfolder" i u njemu stavis flash.swf sa html-om
u tom folderu napravis novi folder "ASfolder" i u njmu smestis AS skripte, php skriptu za komunikaciju sa bazom i .htaccess file kako bi se zastitio prilaz skriptama sa spoljne strane tj. preko web adrese ili IP broja.
Flash bi komunicirao sa AS skriptom koristeci funkcije a ta skripta bi komunicirala sa php skriptom.
Ako neko uzme taj swf fajl i pogleda ga videt ce import za AS skriptu "ASfolder/moja_AS_skripta.as". Da bi neko posalo podatke toj skripti mora da postavi " www.mojdomen.com/flashfolder/ASfolder/moja_AS_skripta.as" ali tada dolazi u funkciju .htaccess koji zabranjuje prilaz sa spoljne strane.
dok druga , mozda bolja mogucnost je da se AS skripta i php skripta postave ispod www roota (public_html) na serveru pa je prilaz preko web adrese nemoguc i ostaju samo 3 prilaza skriptama: administrator, FTP i hakovanje servera :))
Ovo je moje misljenje ali bio bih zahvalan kada bi neki strucnjak dao komentar. Trenutno ne znam za bolju zastitu.
Pozdrav
[ milantrax2005 @ 24.11.2006. 10:00 ] @
.htaccess nije losa ideja.Mada je metod addRequestHeader dosta ogranicen ovde imas primer kako iz SWF-a mozes da iscitavas zasticene podatke
http://www.martijndevisser.com...ing-http-authorization-headers
U sustini celokupna komunikacija izmedju SWF-a i servera bi mogla da se prati nekim sniferom,ali racunaj da ce to da radi mali broj ljudi,tako da ne ocekuj neko idealno resenje  Mozda je SSL najbolja varijanta,ali opet nije ni to jednostavno.
Naravno,i pored enkripcije onog SWF-a,iz ASV-a bez problema mogu da se vide sve konstante 
[ maxa @ 25.11.2006. 11:09 ] @
Citat: U sustini celokupna komunikacija izmedju SWF-a i servera bi mogla da se prati nekim sniferom
Da u pravu si, isprobao sam sa par programa i sve se vidi, gde se salje i koji se parametri salju.
Ali ako se iskoristi .htaccess ili se php skripta postavi ispod www roota (public_html) onda mislim da ne moze da se pridje php skripti i izvrsi unos laznih podataka.
Interesuje me jos nesto, ove AS skripte koje se importuju u flash, gde se one ucitavaju, dali se vide u SWF fajlu ili u memoriji ili kako vec to ide. Interesuje me dali mogu da se vide funkcije iz AS skripte??
[ milantrax2005 @ 25.11.2006. 12:13 ] @
Spoljni AS fajlovi se koriste samo u toku kompajliranja SWF filma,preko #include direktive,ili preko definisanja classpath-a,tako da to nece mnogo pomoci runtime.A pored toga iz dekompajlera se vide kao i sav drugi AS kod...
.htaccess je dobro resenje,jer u onom primeru lik koristi klasu za base64,a i ne moras da ides iza www root-a
Alternativno,tu su XML socket-i ili neki multiplayer server,to je profesionalnije resenje...
[ maxa @ 25.11.2006. 13:13 ] @
Da u pravu si , ja mislio da ti spoljni as fajlovi sluze kao dll za exe fajl, obavi funkciju i vrati rezultate.
Citat: Alternativno,tu su XML socket-i ili neki multiplayer server,to je profesionalnije resenje...
Jel ovde mislis zbog sigurnosti da je bolje??
Jel imas neki spisak za XML socket-i ili multiplayer hosting??? Probao sam ranijen nesto preko goolga ali nisam naso nista pametno.
Hvala
[ milantrax2005 @ 25.11.2006. 14:42 ] @
Svakako je sigurnije i mnogo profesionalnije resenje za sve aplikacije kojima treba realtime razmena podataka.
Pogledaj ovde:
http://www.gotoandplay.it/_articles/multiplayerCentral/
[ maxa @ 25.11.2006. 15:22 ] @
A koji hosting podrzava taj server?
[ milantrax2005 @ 25.11.2006. 16:08 ] @
Nemam pojma...Vidim da imaju i besplatnu varijantu,ali je verovatno totalno jadna u odnosu na komercijalnu.Mislim da ogranicava broj korisnika,ali da je potpuno funkcionalna,nisam proveravao dokumentaciju.Verovatno postoji negde na netu hosting koji nudi ovu mogucnost,ali ja nemam predstavu koji...Mozda Google nadje nesto...
[ joeyn00b @ 25.11.2006. 18:59 ] @
pozdrav!
nedavno sam naisao na slican problem, a radi se o prikrivanju adrese gdje sam obavljao prijavu rezultata/bodova/drugo preko PHP skripte.
ispalo je da je to vrlo nesiguran nacin kako to obaviti.
zapravo, php mi je trebao samo za prijavu i pregled rezultata iz *sql baze podataka.
radilo se o multiplayer aplikaciji pa sam koristio postojeci server ES( http://www.electro-server.com) koji ima prilicno stvari rijeseno (users, rooms, messaging, ...), umjesto da izmisljam toplu vodu.
ES takodjer ima database plugin example koji sam iskoristio u potpunosti za komunikaciju sa bazom podataka tako da sam izbacio PHP skripte iz svoje aplikacije.
ES je besplatan, ali samo podrzava 20 online korisnika na serveru. Sve dalje od toga placas :-(
Postoje alternative, ako nisi spreman platiti cijenu.
Nadam se da sam pomogao.
[ maxa @ 25.11.2006. 20:12 ] @
Hvala na odgovoru ali kazi mi neki hosting za ES server??
Lako cu ja njega da pokrenema na mojoj masini ali sta da radim kada flash prebacim na net gde ce se konektuje??
[ joeyn00b @ 25.11.2006. 20:56 ] @
[ maxa @ 25.11.2006. 22:31 ] @
hvala
Copyright (C) 2001-2025 by www.elitesecurity.org. All rights reserved.
|