Страница 1 из 1

Вопрос начинающего про auth_key и flashVars

Добавлено: 06 окт 2010, 18:41
Николай
Здравствуйте! У меня есть вопрос про flashVars и auth_key. Возможно это ламерский вопрос, но все же он не дает мне спокойно спать)

в Документации по API ВК сказано, что при отображении приложения посредством flashVars в него передаются разные параметры, в тои числе и auth_key.
Я, для авторизации пользователя на сервере у себя перед выполнением любых php скриптов, рассчитываю md5 от app_id, viewer_id и api_secret, и если хеш совпадает, то разрешаю коннект к базе:

Код: Выделить всё

 $real_key = md5($app_id."_".$viewer_id."_".$api_secret);if ($auth_key == $real_key){    // соединение с БД}
Auth_key передается в приложение через flashVars, и затем я добавляю его в объект some_loader:

Код: Выделить всё

 var some_loader:URLLoader = new URLLoader();var some_request:URLRequest=new URLRequest("http://somehost.ru/script.php");var some_vars:URLVariables = new URLVariables(); some_request.method=URLRequestMethod.POST;some_vars['viewer_id']=LoaderInfo(root.loaderInfo).parameters.viewer_id;some_vars['auth_key']=LoaderInfo(root.loaderInfo).parameters.auth_key;// auth_key из FlashVarssome_request.data=some_vars;    some_loader.load(some_request) 
Собственно, вопрос в следующем: Может ли взломщик, декомпилируя приложение, или анализируюя трафик, как-то узнать auth_key? Ведь если сможет, то сможет получить доступ к скриптам на сервере откуда угодно...
Прошу прощения, если вопрос ламерский, но, как уже сказал выше, он мне спать не дает :oops:

Re: Вопрос начинающего про auth_key и flashVars

Добавлено: 06 окт 2010, 19:51
Noise Gate
Николай писал(а):Может ли взломщик, декомпилируя приложение, или анализируюя трафик, как-то узнать auth_key
Хватит и того, что каждый знает свой auth_key - он явно прописан в коде страницы. Так что пиши скрипты с оглядкой на то, что все всегда можно узнать и все можно декомпилировать...

И вот тебе подходящая тема: http://flapps.ru/forum/topic547.html

Re: Вопрос начинающего про auth_key и flashVars

Добавлено: 06 окт 2010, 22:36
Николай
Noise Gate писал(а):
Николай писал(а):Может ли взломщик, декомпилируя приложение, или анализируюя трафик, как-то узнать auth_key
Хватит и того, что каждый знает свой auth_key - он явно прописан в коде страницы. Так что пиши скрипты с оглядкой на то, что все всегда можно узнать и все можно декомпилировать...

И вот тебе подходящая тема: http://flapps.ru/forum/topic547.html
Спасибо, интересная информация!

как я понял, все-таки на 100% спастись от взлома невозможно?

Re: Вопрос начинающего про auth_key и flashVars

Добавлено: 07 окт 2010, 08:57
Noise Gate
Именно, поэтому лучше придумывать механизмы защиты от взлома и ботов на стороне сервера.

Re: Вопрос начинающего про auth_key и flashVars

Добавлено: 07 окт 2010, 10:55
Николай
Случайно наткнулся на приложение одно - http://vkontakte.ru/app1741517
так там внизу есть minifaq для взломщиков. Создатель приложения уверен в своей безопасности как никто другой, или же это просто блеф....

Re: Вопрос начинающего про auth_key и flashVars

Добавлено: 07 окт 2010, 11:37
Noise Gate
Ну я про это и говорил:
Все операции проводятся у нас на сервере, а приложение - это не более, чем доступ к нашему серверу с красивым интерфейсом.
1) На сервере абсолютно все действия записываются в лог со всей информацией о пользователе (ID ВКонтакте, IP адрес, местоположение, User-Agent и т.д.). - не палитесь!
2) Если с одного и того же ID слишком часто идут некорректные запросы (возможно составленные вручную), то мы лично смотрим, что это за пользователь и какие запросы шли от него. Если мы заметим попытку взлома, то просто запретим транзикации с голосами от этого пользователя и тогда взлом этого приложения стнет просто бесполезен. - работайте быстро и без ошибок. =)

Re: Вопрос начинающего про auth_key и flashVars

Добавлено: 07 окт 2010, 12:14
Alexander
На данный момент ваше приложение защищено до безумия :D
Единственный способ получить доступ - сбрутить, пропинчить или ещё что нибудь сделать с хостингом и слить оттуда инфу.

Re: Вопрос начинающего про auth_key и flashVars

Добавлено: 07 окт 2010, 13:51
Noise Gate
Alexander писал(а):На данный момент ваше приложение защищено до безумия :D
Единственный способ получить доступ - сбрутить, пропинчить или ещё что нибудь сделать с хостингом и слить оттуда инфу.
Это да, но повторюсь - основная проблемма здесь не взлом, а именно ботоводство...

Re: Вопрос начинающего про auth_key и flashVars

Добавлено: 07 окт 2010, 19:11
Alexander
А, ну в данном случае наверное лучшее решение это ssl протокол...
Хотя может ещё что-то есть, но я просто об этом не знаю o_O

Re: Вопрос начинающего про auth_key и flashVars

Добавлено: 09 окт 2010, 15:37
Николай
Alexander писал(а):На данный момент ваше приложение защищено до безумия :D
Единственный способ получить доступ - сбрутить, пропинчить или ещё что нибудь сделать с хостингом и слить оттуда инфу.
Спасибо, успокоил)