Вопрос начинающего про auth_key и flashVars

Обсуждение и помощь по вопросам взаимодействия с ВКонтакте API в Flash-приложениях (ActionScript)

Вопрос начинающего про auth_key и flashVars

Сообщение Николай » 06 окт 2010, 18:41

Здравствуйте! У меня есть вопрос про flashVars и auth_key. Возможно это ламерский вопрос, но все же он не дает мне спокойно спать)

в Документации по API ВК сказано, что при отображении приложения посредством flashVars в него передаются разные параметры, в тои числе и auth_key.
Я, для авторизации пользователя на сервере у себя перед выполнением любых php скриптов, рассчитываю md5 от app_id, viewer_id и api_secret, и если хеш совпадает, то разрешаю коннект к базе:

  1.  
  2. $real_key = md5($app_id."_".$viewer_id."_".$api_secret);
  3. if ($auth_key == $real_key){
  4.     // соединение с БД
  5. }


Auth_key передается в приложение через flashVars, и затем я добавляю его в объект some_loader:

  1.  
  2. var some_loader:URLLoader = new URLLoader();
  3. var some_request:URLRequest=new URLRequest("http://somehost.ru/script.php");
  4. var some_vars:URLVariables = new URLVariables();
  5.  
  6. some_request.method=URLRequestMethod.POST;
  7. some_vars['viewer_id']=LoaderInfo(root.loaderInfo).parameters.viewer_id;
  8. some_vars['auth_key']=LoaderInfo(root.loaderInfo).parameters.auth_key;// auth_key из FlashVars
  9. some_request.data=some_vars;   
  10. some_loader.load(some_request)
  11.  


Собственно, вопрос в следующем: Может ли взломщик, декомпилируя приложение, или анализируюя трафик, как-то узнать auth_key? Ведь если сможет, то сможет получить доступ к скриптам на сервере откуда угодно...
Прошу прощения, если вопрос ламерский, но, как уже сказал выше, он мне спать не дает :oops:
Николай

 
Автор темы
Сообщения: 16
Зарегистрирован: 18 сен 2010, 13:47
Благодарил (а): 8 раз.
Поблагодарили: 0 раз.

Чтобы убрать блок с рекламой, зарегистрируйтесь на форуме или войдите.

Google
 



Re: Вопрос начинающего про auth_key и flashVars

Сообщение Noise Gate » 06 окт 2010, 19:51

Николай писал(а):Может ли взломщик, декомпилируя приложение, или анализируюя трафик, как-то узнать auth_key

Хватит и того, что каждый знает свой auth_key - он явно прописан в коде страницы. Так что пиши скрипты с оглядкой на то, что все всегда можно узнать и все можно декомпилировать...

И вот тебе подходящая тема: topic547.html

За это сообщение автора Noise Gate поблагодарил:
Николай
Noise Gate

 
Сообщения: 691
Зарегистрирован: 28 апр 2010, 12:34
Откуда: СПб
Благодарил (а): 31 раз.
Поблагодарили: 64 раз.

Re: Вопрос начинающего про auth_key и flashVars

Сообщение Николай » 06 окт 2010, 22:36

Noise Gate писал(а):
Николай писал(а):Может ли взломщик, декомпилируя приложение, или анализируюя трафик, как-то узнать auth_key

Хватит и того, что каждый знает свой auth_key - он явно прописан в коде страницы. Так что пиши скрипты с оглядкой на то, что все всегда можно узнать и все можно декомпилировать...

И вот тебе подходящая тема: topic547.html


Спасибо, интересная информация!

как я понял, все-таки на 100% спастись от взлома невозможно?
Николай

 
Автор темы
Сообщения: 16
Зарегистрирован: 18 сен 2010, 13:47
Благодарил (а): 8 раз.
Поблагодарили: 0 раз.

Re: Вопрос начинающего про auth_key и flashVars

Сообщение Noise Gate » 07 окт 2010, 08:57

Именно, поэтому лучше придумывать механизмы защиты от взлома и ботов на стороне сервера.
Noise Gate

 
Сообщения: 691
Зарегистрирован: 28 апр 2010, 12:34
Откуда: СПб
Благодарил (а): 31 раз.
Поблагодарили: 64 раз.

Re: Вопрос начинающего про auth_key и flashVars

Сообщение Николай » 07 окт 2010, 10:55

Случайно наткнулся на приложение одно - http://vkontakte.ru/app1741517
так там внизу есть minifaq для взломщиков. Создатель приложения уверен в своей безопасности как никто другой, или же это просто блеф....
Николай

 
Автор темы
Сообщения: 16
Зарегистрирован: 18 сен 2010, 13:47
Благодарил (а): 8 раз.
Поблагодарили: 0 раз.

Re: Вопрос начинающего про auth_key и flashVars

Сообщение Noise Gate » 07 окт 2010, 11:37

Ну я про это и говорил:
Все операции проводятся у нас на сервере, а приложение - это не более, чем доступ к нашему серверу с красивым интерфейсом.

1) На сервере абсолютно все действия записываются в лог со всей информацией о пользователе (ID ВКонтакте, IP адрес, местоположение, User-Agent и т.д.). - не палитесь!
2) Если с одного и того же ID слишком часто идут некорректные запросы (возможно составленные вручную), то мы лично смотрим, что это за пользователь и какие запросы шли от него. Если мы заметим попытку взлома, то просто запретим транзикации с голосами от этого пользователя и тогда взлом этого приложения стнет просто бесполезен. - работайте быстро и без ошибок. =)
Noise Gate

 
Сообщения: 691
Зарегистрирован: 28 апр 2010, 12:34
Откуда: СПб
Благодарил (а): 31 раз.
Поблагодарили: 64 раз.

Re: Вопрос начинающего про auth_key и flashVars

Сообщение Alexander » 07 окт 2010, 12:14

На данный момент ваше приложение защищено до безумия :D
Единственный способ получить доступ - сбрутить, пропинчить или ещё что нибудь сделать с хостингом и слить оттуда инфу.
Alexander
FL Team
FL Team
 
Сообщения: 186
Зарегистрирован: 15 окт 2009, 20:08
Благодарил (а): 0 раз.
Поблагодарили: 14 раз.

Re: Вопрос начинающего про auth_key и flashVars

Сообщение Noise Gate » 07 окт 2010, 13:51

Alexander писал(а):На данный момент ваше приложение защищено до безумия :D
Единственный способ получить доступ - сбрутить, пропинчить или ещё что нибудь сделать с хостингом и слить оттуда инфу.

Это да, но повторюсь - основная проблемма здесь не взлом, а именно ботоводство...
Noise Gate

 
Сообщения: 691
Зарегистрирован: 28 апр 2010, 12:34
Откуда: СПб
Благодарил (а): 31 раз.
Поблагодарили: 64 раз.

Re: Вопрос начинающего про auth_key и flashVars

Сообщение Alexander » 07 окт 2010, 19:11

А, ну в данном случае наверное лучшее решение это ssl протокол...
Хотя может ещё что-то есть, но я просто об этом не знаю o_O
Alexander
FL Team
FL Team
 
Сообщения: 186
Зарегистрирован: 15 окт 2009, 20:08
Благодарил (а): 0 раз.
Поблагодарили: 14 раз.

Re: Вопрос начинающего про auth_key и flashVars

Сообщение Николай » 09 окт 2010, 15:37

Alexander писал(а):На данный момент ваше приложение защищено до безумия :D
Единственный способ получить доступ - сбрутить, пропинчить или ещё что нибудь сделать с хостингом и слить оттуда инфу.


Спасибо, успокоил)
Николай

 
Автор темы
Сообщения: 16
Зарегистрирован: 18 сен 2010, 13:47
Благодарил (а): 8 раз.
Поблагодарили: 0 раз.


  • Похожие темы
    Ответы
    Просмотры
    Последнее сообщение

Вернуться в Создание Flash-приложений ВКонтакте



Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 0

cron