Безопасность: setUserScore и/или отправка на сервер

То что касается флеша, но не касается ВКонтакте API. Например проблемы при создании прыгающего мячика.

Re: Безопасность: setUserScore и/или отправка на сервер

Сообщение Noise Gate » 08 янв 2011, 14:36

Nick Lisogor писал(а):Api_secret можно и защитить

Буду весьма благодарен, если скажете как.
Noise Gate

 
Автор темы
Сообщения: 691
Зарегистрирован: 28 апр 2010, 12:34
Откуда: СПб
Благодарил (а): 31 раз.
Поблагодарили: 64 раз.

Чтобы убрать блок с рекламой, зарегистрируйтесь на форуме или войдите.

Google
 



Re: Безопасность: setUserScore и/или отправка на сервер

Сообщение Nick Lisogor » 07 фев 2011, 22:56

Отправка viewer_id и auth_key в php скрипт, сам php выглядит так:

  1. <?php                  
  2. $app_id = ''; //ID приложения
  3. $api_secret = ''; //Защищенный ключ
  4. $api_secret_code = ''; //Секретный ключ
  5.  
  6. //Получаем нужные нам данные из API
  7. $auth_key  = $_POST['auth_key'];
  8. $viewer_id = (int)$_POST['viewer_id'];
  9.  
  10. //Обрабатываем переменные, заданные в скрипте и полученный viewer_id
  11. $real_key = md5($app_id."_".$viewer_id."_".$api_secret);
  12.  
  13. //Если принятый ключ идентичен обработанному скриптом
  14. if ($auth_key == $real_key){
  15.  
  16.   //Возвращаем id приложения и секретный ключ(ид приложения делал для себя т.к. , чем меньше данных в клиенте - тем лучше), также можно добавить в ответ другие нужные переменные
  17.   echo "<?xml version=\"1.0\" encoding=\"UTF-8\"?>";
  18.   echo "<response>";
  19.   echo "<api_id_data>".$app_id." </api_id_data>";
  20.   echo "<api_code_data>".$api_secret_code." </api_code_data>";
  21.   echo "</response>";
  22.  
  23. } else {
  24.   //Ну и конечно же для любознательных полазить в исходнике
  25.   echo "Hacking Attempt!";
  26.   exit;
  27. }
  28. ?>


Auth_key и viewer_id Flash приложение получает из Api, т.е. при де компиляции лишь запрос на получение, а ответа нет т.к. приложение не запущено ВКонтакте.
Noise, сорри) увидел твоё сообщение только сейчас), так бы написал раньше
Услуги клиент-сервер(оптимальные цены)
Работаю с PHP, ActionScript 3, JavaScript.
Nick Lisogor
FL Team
FL Team
 
Сообщения: 119
Зарегистрирован: 12 дек 2010, 14:08
Благодарил (а): 10 раз.
Поблагодарили: 9 раз.

Re: Безопасность: setUserScore и/или отправка на сервер

Сообщение Noise Gate » 07 фев 2011, 23:22

Nick Lisogor писал(а):увидел твоё сообщение только сейчас), так бы написал раньше

да, ладно - на то и форум, а не чат))))

Все это, конечно, хорошо, но опять же не слишком защищает(((
Noise Gate

 
Автор темы
Сообщения: 691
Зарегистрирован: 28 апр 2010, 12:34
Откуда: СПб
Благодарил (а): 31 раз.
Поблагодарили: 64 раз.

Re: Безопасность: setUserScore и/или отправка на сервер

Сообщение Nick Lisogor » 07 фев 2011, 23:26

тоесть, не слишком?
Услуги клиент-сервер(оптимальные цены)
Работаю с PHP, ActionScript 3, JavaScript.
Nick Lisogor
FL Team
FL Team
 
Сообщения: 119
Зарегистрирован: 12 дек 2010, 14:08
Благодарил (а): 10 раз.
Поблагодарили: 9 раз.

Re: Безопасность: setUserScore и/или отправка на сервер

Сообщение Noise Gate » 08 фев 2011, 14:35

Ну ты же сам посылаешь ключ в приложение - стОит прослушать ответ с сервера - и ключ у тебя в кармане...
Noise Gate

 
Автор темы
Сообщения: 691
Зарегистрирован: 28 апр 2010, 12:34
Откуда: СПб
Благодарил (а): 31 раз.
Поблагодарили: 64 раз.

Re: Безопасность: setUserScore и/или отправка на сервер

Сообщение Nick Lisogor » 08 фев 2011, 15:21

Прослушать с клиента или со стороны php скрипта?
Услуги клиент-сервер(оптимальные цены)
Работаю с PHP, ActionScript 3, JavaScript.
Nick Lisogor
FL Team
FL Team
 
Сообщения: 119
Зарегистрирован: 12 дек 2010, 14:08
Благодарил (а): 10 раз.
Поблагодарили: 9 раз.

Re: Безопасность: setUserScore и/или отправка на сервер

Сообщение Doker » 08 фев 2011, 15:24

Посмотри в моем уроке "Рейтинг в приложении на собстенном сервере". Более-мение хорошая защита.
my icq numbers: 403305362 и 484613
Аватара пользователя
Doker
Модератор
Модератор
 
Сообщения: 1026
Зарегистрирован: 07 май 2010, 18:53
Благодарил (а): 35 раз.
Поблагодарили: 52 раз.

Re: Безопасность: setUserScore и/или отправка на сервер

Сообщение Nick Lisogor » 08 фев 2011, 15:34

В вашем уроке api_id и api_secret указываются в клиенте...
Услуги клиент-сервер(оптимальные цены)
Работаю с PHP, ActionScript 3, JavaScript.
Nick Lisogor
FL Team
FL Team
 
Сообщения: 119
Зарегистрирован: 12 дек 2010, 14:08
Благодарил (а): 10 раз.
Поблагодарили: 9 раз.

Re: Безопасность: setUserScore и/или отправка на сервер

Сообщение Doker » 09 фев 2011, 10:09

Только при декомпиляции можно будет узнать код. А просто подменить запрос - нет.
my icq numbers: 403305362 и 484613
Аватара пользователя
Doker
Модератор
Модератор
 
Сообщения: 1026
Зарегистрирован: 07 май 2010, 18:53
Благодарил (а): 35 раз.
Поблагодарили: 52 раз.

Re: Безопасность: setUserScore и/или отправка на сервер

Сообщение Noise Gate » 09 фев 2011, 15:45

Doker писал(а):Посмотри в моем уроке "Рейтинг в приложении на собстенном сервере". Более-мение хорошая защита.

насколько я понял, ты имеешь ввиду своего рода подпись запроса:
  1. $real_key = md5("$new_score STbfPJfRhj");
  2. if ($new_score_sig == $real_key){


верно? или я что-то еще проглядел?
Noise Gate

 
Автор темы
Сообщения: 691
Зарегистрирован: 28 апр 2010, 12:34
Откуда: СПб
Благодарил (а): 31 раз.
Поблагодарили: 64 раз.

Пред.След.

Вернуться в Программирование на Flash



Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 0

cron