Страница 2 из 2
Re: У кого из друзей установлено приложение?
Добавлено: 17 мар 2011, 17:38
aaanet
Nick Lisogor писал(а):bodnar писал(а):проверяйте на валидность auth_key
все же уже какая никакая безопасность
bodnar, валидность auth_key - это больная тема, ведь можно n таких запросов отправить потом)
а как же быть тогда если всё можно обойти:
1. Не считать у клиента и передавать, а считать на сервере и отдавать клиенту. Не вариант.
2. Проверять на валидность auth_key можно будет дублировать. Не вариант.
3. Придумывать систему какую-то шифра - компильнут и воспользуются. Не вариант.
Как же всё таки от этого защищаются?
Re: У кого из друзей установлено приложение?
Добавлено: 17 мар 2011, 19:34
Nick Lisogor
Во Flash клиенте никак, 100% защиты нет, т.к. есть декомпиляция.
Re: У кого из друзей установлено приложение?
Добавлено: 18 мар 2011, 15:17
aaanet
А если не именно в клиенте?
А вообще в связке клиент-php-mysql.
Как и какие данные лучше всего отправлять с клиента php скрипту?
Re: У кого из друзей установлено приложение?
Добавлено: 18 мар 2011, 15:33
Nick Lisogor
Если в цепочке участвует клиент, который можно декомпилировать, то, фактически, никак...
Re: У кого из друзей установлено приложение?
Добавлено: 18 мар 2011, 15:40
aaanet
Nick Lisogor писал(а):Если в цепочке участвует клиент, который можно декомпилировать, то, фактически, никак...
а как защищают другие приложения?
Re: У кого из друзей установлено приложение?
Добавлено: 18 мар 2011, 15:49
Nick Lisogor
Пока не знаю. Скорее, правильнее было бы сказать: не защищают, а усложняют взлом. Возможно, я не прав, это лишь мое субъективное мнение.
Re: У кого из друзей установлено приложение?
Добавлено: 19 мар 2011, 18:27
aaanet
Ну всё таки.
Слать обманные запросы к php.
Слать шифрованные md5, запутанные запросы к php.
Проверять auth_key.
Это конечно хорошо.
Но, можно декомпильнуть flash и изучить весь алгоритм шифра не сложно, человеку с прямыми руками.
Даже если не посылать очки на сервер, а просто чтобы каждая команда прибавления очков соответствовала php скрипту. А в свою очередь php скрипт сам работает с БД и отправляет клиенту всё посчитанное. Конечно в таком случае не исключено, что человек поменяет инфу когда она будет идти от php к flash'у, но это не страшно, всего лишь визуальный баг. НО! Ведь все эти запросы и правда легко дублировать.
Как обойти дублирование?
Re: У кого из друзей установлено приложение?
Добавлено: 23 мар 2011, 16:54
Noise Gate
Re: У кого из друзей установлено приложение?
Добавлено: 23 мар 2011, 19:06
aaanet
по поводу дублирования я ничего не нашел в той теме.