У кого из друзей установлено приложение?

Обсуждение и помощь по вопросам взаимодействия с ВКонтакте API в Flash-приложениях (ActionScript)
aaanet
Сообщения: 27
Зарегистрирован: 08 фев 2011, 02:50

Re: У кого из друзей установлено приложение?

Сообщение aaanet »

Nick Lisogor писал(а):
bodnar писал(а):проверяйте на валидность auth_key
все же уже какая никакая безопасность
bodnar, валидность auth_key - это больная тема, ведь можно n таких запросов отправить потом)
а как же быть тогда если всё можно обойти:
1. Не считать у клиента и передавать, а считать на сервере и отдавать клиенту. Не вариант.
2. Проверять на валидность auth_key можно будет дублировать. Не вариант.
3. Придумывать систему какую-то шифра - компильнут и воспользуются. Не вариант.

Как же всё таки от этого защищаются?
Nick Lisogor
FL Team
FL Team
Сообщения: 119
Зарегистрирован: 12 дек 2010, 14:08

Re: У кого из друзей установлено приложение?

Сообщение Nick Lisogor »

Во Flash клиенте никак, 100% защиты нет, т.к. есть декомпиляция.
aaanet
Сообщения: 27
Зарегистрирован: 08 фев 2011, 02:50

Re: У кого из друзей установлено приложение?

Сообщение aaanet »

А если не именно в клиенте?
А вообще в связке клиент-php-mysql.

Как и какие данные лучше всего отправлять с клиента php скрипту?
Nick Lisogor
FL Team
FL Team
Сообщения: 119
Зарегистрирован: 12 дек 2010, 14:08

Re: У кого из друзей установлено приложение?

Сообщение Nick Lisogor »

Если в цепочке участвует клиент, который можно декомпилировать, то, фактически, никак...
aaanet
Сообщения: 27
Зарегистрирован: 08 фев 2011, 02:50

Re: У кого из друзей установлено приложение?

Сообщение aaanet »

Nick Lisogor писал(а):Если в цепочке участвует клиент, который можно декомпилировать, то, фактически, никак...
а как защищают другие приложения?
Nick Lisogor
FL Team
FL Team
Сообщения: 119
Зарегистрирован: 12 дек 2010, 14:08

Re: У кого из друзей установлено приложение?

Сообщение Nick Lisogor »

Пока не знаю. Скорее, правильнее было бы сказать: не защищают, а усложняют взлом. Возможно, я не прав, это лишь мое субъективное мнение.
aaanet
Сообщения: 27
Зарегистрирован: 08 фев 2011, 02:50

Re: У кого из друзей установлено приложение?

Сообщение aaanet »

Ну всё таки.

Слать обманные запросы к php.
Слать шифрованные md5, запутанные запросы к php.
Проверять auth_key.

Это конечно хорошо.
Но, можно декомпильнуть flash и изучить весь алгоритм шифра не сложно, человеку с прямыми руками.

Даже если не посылать очки на сервер, а просто чтобы каждая команда прибавления очков соответствовала php скрипту. А в свою очередь php скрипт сам работает с БД и отправляет клиенту всё посчитанное. Конечно в таком случае не исключено, что человек поменяет инфу когда она будет идти от php к flash'у, но это не страшно, всего лишь визуальный баг. НО! Ведь все эти запросы и правда легко дублировать.

Как обойти дублирование?
aaanet
Сообщения: 27
Зарегистрирован: 08 фев 2011, 02:50

Re: У кого из друзей установлено приложение?

Сообщение aaanet »

Noise Gate писал(а):http://flapps.ru/forum/topic547.html
по поводу дублирования я ничего не нашел в той теме.
Ответить