Pełna wersja: PHP & Flash
Robię gre we flashu i nie wiem jak zabezpieczyć przesyłanie wyniku między flash-em, a php, tak aby nie było możliwości dopisywania fałszywych wyników. Z góry thx za odpowiedź.
Witam.
Ja niestety nie jestm dobry z flaszki ale wydaje mi się, że nie da się tego w 100% zabezpieczyć. Osobiście zrobiłbym coś takiego.
1. Po wczytaniu flaszki uruchomiłbym plik .php (LoadVars czy LoadVariables), w którym zapisałbym do bazy sesję, czas i jakąś losową liczbę i wczytałbym te zmienne do flaszki.
2. Przy zapisywaniu wyniku w pliku .php sprawdzić sesję, czas i losową liczbę z bazą i jeśli jest taka sama, to zapisać - w przeciwnym wypadku ktoś się wpina w sam skrypt.
Można to obejść, ale ktoś musiałby podać kokładny czas do skryptu, w którym nastąpiło wczytanie zmiennej do flaszki, oraz znać ową losową liczbę.
Ja niestety nie jestm dobry z flaszki ale wydaje mi się, że nie da się tego w 100% zabezpieczyć. Osobiście zrobiłbym coś takiego.
1. Po wczytaniu flaszki uruchomiłbym plik .php (LoadVars czy LoadVariables), w którym zapisałbym do bazy sesję, czas i jakąś losową liczbę i wczytałbym te zmienne do flaszki.
2. Przy zapisywaniu wyniku w pliku .php sprawdzić sesję, czas i losową liczbę z bazą i jeśli jest taka sama, to zapisać - w przeciwnym wypadku ktoś się wpina w sam skrypt.
Można to obejść, ale ktoś musiałby podać kokładny czas do skryptu, w którym nastąpiło wczytanie zmiennej do flaszki, oraz znać ową losową liczbę.
To jest banalne do obejścia. Ktoś zrobi własny plik flasha i wczyta plik php. Będzie znał i dokładny czas i losową liczbe.
Witam.
Dlatego też napisałem, że nie znam 100% zabezpieczenia.
Po prostu starałem się pomóc jak potrafię w tym temacie.
Dlatego też napisałem, że nie znam 100% zabezpieczenia.
Po prostu starałem się pomóc jak potrafię w tym temacie.
Witam!!
Tego się chyba nie da zabezpieczyć. php dostaje tylko dane od flasha, nie wiem czy postem czy getem wysyłasz, co nie zmienia faktu, że jak ktoś napisze skrypt, niekoniecznie we flashu, to php nie będzie wiedziało, czy dostało dane od flashki, czy od kogoś innego. Możesz ewentualnie w php wygenerować jakiś skomplikowany klucz, i taki sam generować we flashu, tylko generować w jakiś sposób, bo tak to ze źródeł flasha można wyciągnąć ciąg znaków, który właśnie może być tym kluczem. Następnie w php porównywać te klucze i jeśli są takie same, to dodać wpis. Problem tylko w zabezpieczeniu flasha, przed wyciągnięciem tego klucza.
Tego się chyba nie da zabezpieczyć. php dostaje tylko dane od flasha, nie wiem czy postem czy getem wysyłasz, co nie zmienia faktu, że jak ktoś napisze skrypt, niekoniecznie we flashu, to php nie będzie wiedziało, czy dostało dane od flashki, czy od kogoś innego. Możesz ewentualnie w php wygenerować jakiś skomplikowany klucz, i taki sam generować we flashu, tylko generować w jakiś sposób, bo tak to ze źródeł flasha można wyciągnąć ciąg znaków, który właśnie może być tym kluczem. Następnie w php porównywać te klucze i jeśli są takie same, to dodać wpis. Problem tylko w zabezpieczeniu flasha, przed wyciągnięciem tego klucza.
a moze zrobic, ze z danych ktore maja byc wyslane z flasha kodowac (robic cos w rodzaju sumy kontrolnej) i w phpie z otrzymanymi danymi robic to samo, a nastepnie sprawdzac czy sa takie same sumy kontrolne :-) ewentualnie przesylac z php fo flasha jeszcze jakis timestap i jego tez 'kodowac' do tej sumy kontrolnej .. tak aby sie one roznily :-) ja bym cos w tym rodzaju kombinowal ... tez musze takie cos zrobic :-) jaka gierke robisz ? :-)
Cytat
a moze zrobic, ze z danych ktore maja byc wyslane z flasha kodowac
Ustalmy pewną kwestie. Kodowanie we flashu odpada, bo kod flasha można podejrzeć.
Cytat
Problem tylko w zabezpieczeniu flasha, przed wyciągnięciem tego klucza.
No właśnie. Niestety nie da się zabezpieczyć flash-a.
Cytat
Witam.
Dlatego też napisałem, że nie znam 100% zabezpieczenia.
Po prostu starałem się pomóc jak potrafię w tym temacie.
Dlatego też napisałem, że nie znam 100% zabezpieczenia.
Po prostu starałem się pomóc jak potrafię w tym temacie.
Spoko, nie gniewam się
Thx, za próbe pomocy.
Cytat
jaka gierke robisz ?
Mam pare gierek i chciałem zrobić stronke z gierkami on-line wraz z rankingiem.
Cytat
No właśnie. Niestety nie da się zabezpieczyć flash-a.
A kto tak powiedział ? :-) Flasha także da sie zabezpieczyć, aczkolwiek tak jak we wszystkim nigdy to nie da 100% gwarancji
osobiscie nigdy nie zabezpieczalem flasha, ale jest taki programik:
http://www.flashzone.pl/forum/download.php...wfile&fileID=38
po za tym polecam poczytac o zabezpieczeniach flasha na forach:
http://www.flashzone.pl
http://www.flashroom.com
pozdrawiam
Cytat
A kto tak powiedział ? Flasha także da sie zabezpieczyć
Miałem na myśli zabezpieczenie flasha przed podejtrzeniem kodu.
Cytat
jest taki programik
Z tego co mi wiadomo to ten program, nie zabezpiecza przed podejrzeniem kodu, a zmienia nazwy zmiennych, funkcji itp. na nieczytelne dla użytkownika, który podgląda dany kod i trudno się połapać o co chodzi... Więc poprosu odczytanie np. funkcji szyfrującej, poprostu było by trudniejsze.
Cytat
po za tym polecam poczytac o zabezpieczeniach flasha na forach:
http://www.flashzone.pl http://www.flashroom.com
http://www.flashzone.pl http://www.flashroom.com
już to zrobiłem
Witam!!
Flashem bawiłem się strasznie dawno, ale z tego co pamiętam, to nie da się wyciągnąć actionscriptu z swf'a?!?
Flashem bawiłem się strasznie dawno, ale z tego co pamiętam, to nie da się wyciągnąć actionscriptu z swf'a?!?
Cytat
Witam!!
Flashem bawiłem się strasznie dawno, ale z tego co pamiętam, to nie da się wyciągnąć actionscriptu z swf'a?!?
Flashem bawiłem się strasznie dawno, ale z tego co pamiętam, to nie da się wyciągnąć actionscriptu z swf'a?!?
To źle pamiętasz. Można to zrobić!!!
plikiem flasha zmien najpierw jakas zmienna (np. $isfla=1) i puzniej funkcje juz w php co sprawdzi czy jest 1 czy 0 w $iffla i jesli 1 to dopisze rekord...
Cytat
plikiem flasha zmien najpierw jakas zmienna (np. $isfla=1) i puzniej funkcje juz w php co sprawdzi czy jest 1 czy 0 w $iffla i jesli 1 to dopisze rekord...
mógłbyś to rozwinąć, bo nie bardzo rozumiem o co chodzi.
Coś mi się wydaje że o nic nie chodzi, po prostu greyhat dodal kolejnego bezsensownego posta...
Witam!!
Skoro da się wyciągnąć actionscript z swf'a to nie uda Ci się tego zabezpieczyć. Bo zawsze, ktoś może zrobić flashkę z identycznym action scriptem i wszystko pójdzie na nic. Chyba, że by zrobić w jakiś sposób sumę kontrolną swf'a i wtedy przyjmować dane od tego konkretnego. Tylko nie wiem czy coś takiego jest możliwe ;P Oczywiście to flash musiał by taką sumę robić i przesyłać do php. Więc wtedy ktoś uparty też by napisał skrypt robiący taką sumę z Twojeg ściągniętego swf'a i wszystko na nic. Więc kolejny bezsensowny post.
Według mnie NIE DA SIĘ tego zrobić!! Znaczy zabezpieczyć
Skoro da się wyciągnąć actionscript z swf'a to nie uda Ci się tego zabezpieczyć. Bo zawsze, ktoś może zrobić flashkę z identycznym action scriptem i wszystko pójdzie na nic. Chyba, że by zrobić w jakiś sposób sumę kontrolną swf'a i wtedy przyjmować dane od tego konkretnego. Tylko nie wiem czy coś takiego jest możliwe ;P Oczywiście to flash musiał by taką sumę robić i przesyłać do php. Więc wtedy ktoś uparty też by napisał skrypt robiący taką sumę z Twojeg ściągniętego swf'a i wszystko na nic. Więc kolejny bezsensowny post.
Według mnie NIE DA SIĘ tego zrobić!! Znaczy zabezpieczyć
[php:1:9a823d2cf8]<?php
if ($_POST[fromfla]==1){
//dodajesz rekord do bazy
} else {
// blad autoryzacji
}
?>[/php:1:9a823d2cf8]
i w pliku fla metoda post wysylasz najpierw 1 do zmiennej $_POST[fromfla] i wyniki tej punktacji w innych zmiennych.... i skrypt sprawdza czy fromfla jest 1 czy nie
if ($_POST[fromfla]==1){
//dodajesz rekord do bazy
} else {
// blad autoryzacji
}
?>[/php:1:9a823d2cf8]
i w pliku fla metoda post wysylasz najpierw 1 do zmiennej $_POST[fromfla] i wyniki tej punktacji w innych zmiennych.... i skrypt sprawdza czy fromfla jest 1 czy nie
Witam!!
[php:1:6aa1584dd5]<?php
//...
$_POST['fromfla'] // tak przy okazji ..
//...
?>[/php:1:6aa1584dd5]
GreyHat: To nic nie zmieni, bo skoro można podejżeć actionsctipt, to wysłanie tej informacji też można podejżeć, więc można sfałszować informacje!
[php:1:6aa1584dd5]<?php
//...
$_POST['fromfla'] // tak przy okazji ..
//...
?>[/php:1:6aa1584dd5]
GreyHat: To nic nie zmieni, bo skoro można podejżeć actionsctipt, to wysłanie tej informacji też można podejżeć, więc można sfałszować informacje!
To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.