Безопасность: setUserScore и/или отправка на сервер

То что касается флеша, но не касается ВКонтакте API. Например проблемы при создании прыгающего мячика.
Nick Lisogor
FL Team
FL Team
Сообщения: 119
Зарегистрирован: 12 дек 2010, 14:08

Re: Безопасность: setUserScore и/или отправка на сервер

Сообщение Nick Lisogor »

Doker писал(а):Только при декомпиляции можно будет узнать код. А просто подменить запрос - нет.
При помощи де компиляции через тот же Trillix можно будет узнать api_id и secret, которые вы указали в клиенте и произвести много различных запросов.
Nick Lisogor
FL Team
FL Team
Сообщения: 119
Зарегистрирован: 12 дек 2010, 14:08

Re: Безопасность: setUserScore и/или отправка на сервер

Сообщение Nick Lisogor »

Noise Gate писал(а):Ну ты же сам посылаешь ключ в приложение - стОит прослушать ответ с сервера - и ключ у тебя в кармане...
Не могли бы вы рассказать по подробнее.
Noise Gate
Сообщения: 691
Зарегистрирован: 28 апр 2010, 12:34

Re: Безопасность: setUserScore и/или отправка на сервер

Сообщение Noise Gate »

Nick Lisogor
ну тут особенно и рассказывать то нечего....

Я ведь могу просмотреть любой трафик, который идет от меня или ко мне. Поэтому, передавать ключ в открытую - плохо. Я могу его перехватить и записать себе +100500 очков.

Можно шифровать, это избавит от школьников. Но мастера, которым очень нужно, могут декомпильнуть приложение, понять логику алгоритма шифрования и тоже слать любые запросы.

Так что, все, что вы делаете на клиенте надо считать небезопасным.
Nick Lisogor
FL Team
FL Team
Сообщения: 119
Зарегистрирован: 12 дек 2010, 14:08

Re: Безопасность: setUserScore и/или отправка на сервер

Сообщение Nick Lisogor »

Noise Gate, а что вы скажете насчет "Первого запроса" к API(редактируется к настройках приложения), вроде как, запрос идет не от клиента, т.е. он защищен?
Noise Gate
Сообщения: 691
Зарегистрирован: 28 апр 2010, 12:34

Re: Безопасность: setUserScore и/или отправка на сервер

Сообщение Noise Gate »

Да, запрос получается "достоверный", но как его можно использовать для защиты работы приложения, я в свое время так и не придумал.
Если есть какие-то идеи, можно попробовать изобрести что-нибудь полезное.
Ответить