Безопасность: setUserScore и/или отправка на сервер

То что касается флеша, но не касается ВКонтакте API. Например проблемы при создании прыгающего мячика.
Noise Gate
Сообщения: 691
Зарегистрирован: 28 апр 2010, 12:34

Re: Безопасность: setUserScore и/или отправка на сервер

Сообщение Noise Gate »

Nick Lisogor писал(а):Api_secret можно и защитить
Буду весьма благодарен, если скажете как.
Nick Lisogor
FL Team
FL Team
Сообщения: 119
Зарегистрирован: 12 дек 2010, 14:08

Re: Безопасность: setUserScore и/или отправка на сервер

Сообщение Nick Lisogor »

Отправка viewer_id и auth_key в php скрипт, сам php выглядит так:

Код: Выделить всё

<?php                   $app_id = ''; //ID приложения$api_secret = ''; //Защищенный ключ$api_secret_code = ''; //Секретный ключ //Получаем нужные нам данные из API$auth_key  = $_POST['auth_key'];$viewer_id = (int)$_POST['viewer_id']; //Обрабатываем переменные, заданные в скрипте и полученный viewer_id$real_key = md5($app_id."_".$viewer_id."_".$api_secret); //Если принятый ключ идентичен обработанному скриптомif ($auth_key == $real_key){   //Возвращаем id приложения и секретный ключ(ид приложения делал для себя т.к. , чем меньше данных в клиенте - тем лучше), также можно добавить в ответ другие нужные переменные  echo "<?xml version=\"1.0\" encoding=\"UTF-8\"?>";  echo "<response>";  echo "<api_id_data>".$app_id." </api_id_data>";  echo "<api_code_data>".$api_secret_code." </api_code_data>";  echo "</response>";  } else {  //Ну и конечно же для любознательных полазить в исходнике  echo "Hacking Attempt!";  exit;}?>
Auth_key и viewer_id Flash приложение получает из Api, т.е. при де компиляции лишь запрос на получение, а ответа нет т.к. приложение не запущено ВКонтакте.
Noise, сорри) увидел твоё сообщение только сейчас), так бы написал раньше
Noise Gate
Сообщения: 691
Зарегистрирован: 28 апр 2010, 12:34

Re: Безопасность: setUserScore и/или отправка на сервер

Сообщение Noise Gate »

Nick Lisogor писал(а):увидел твоё сообщение только сейчас), так бы написал раньше
да, ладно - на то и форум, а не чат))))

Все это, конечно, хорошо, но опять же не слишком защищает(((
Nick Lisogor
FL Team
FL Team
Сообщения: 119
Зарегистрирован: 12 дек 2010, 14:08

Re: Безопасность: setUserScore и/или отправка на сервер

Сообщение Nick Lisogor »

тоесть, не слишком?
Noise Gate
Сообщения: 691
Зарегистрирован: 28 апр 2010, 12:34

Re: Безопасность: setUserScore и/или отправка на сервер

Сообщение Noise Gate »

Ну ты же сам посылаешь ключ в приложение - стОит прослушать ответ с сервера - и ключ у тебя в кармане...
Nick Lisogor
FL Team
FL Team
Сообщения: 119
Зарегистрирован: 12 дек 2010, 14:08

Re: Безопасность: setUserScore и/или отправка на сервер

Сообщение Nick Lisogor »

Прослушать с клиента или со стороны php скрипта?
Аватара пользователя
Doker
Модератор
Модератор
Сообщения: 1026
Зарегистрирован: 07 май 2010, 18:53

Re: Безопасность: setUserScore и/или отправка на сервер

Сообщение Doker »

Посмотри в моем уроке "Рейтинг в приложении на собстенном сервере". Более-мение хорошая защита.
Nick Lisogor
FL Team
FL Team
Сообщения: 119
Зарегистрирован: 12 дек 2010, 14:08

Re: Безопасность: setUserScore и/или отправка на сервер

Сообщение Nick Lisogor »

В вашем уроке api_id и api_secret указываются в клиенте...
Аватара пользователя
Doker
Модератор
Модератор
Сообщения: 1026
Зарегистрирован: 07 май 2010, 18:53

Re: Безопасность: setUserScore и/или отправка на сервер

Сообщение Doker »

Только при декомпиляции можно будет узнать код. А просто подменить запрос - нет.
Noise Gate
Сообщения: 691
Зарегистрирован: 28 апр 2010, 12:34

Re: Безопасность: setUserScore и/или отправка на сервер

Сообщение Noise Gate »

Doker писал(а):Посмотри в моем уроке "Рейтинг в приложении на собстенном сервере". Более-мение хорошая защита.
насколько я понял, ты имеешь ввиду своего рода подпись запроса:

Код: Выделить всё

$real_key = md5("$new_score STbfPJfRhj");if ($new_score_sig == $real_key){
верно? или я что-то еще проглядел?
Ответить