Страница 2 из 2

Re: У кого из друзей установлено приложение?

Добавлено: 17 мар 2011, 17:38
aaanet
Nick Lisogor писал(а):
bodnar писал(а):проверяйте на валидность auth_key
все же уже какая никакая безопасность
bodnar, валидность auth_key - это больная тема, ведь можно n таких запросов отправить потом)
а как же быть тогда если всё можно обойти:
1. Не считать у клиента и передавать, а считать на сервере и отдавать клиенту. Не вариант.
2. Проверять на валидность auth_key можно будет дублировать. Не вариант.
3. Придумывать систему какую-то шифра - компильнут и воспользуются. Не вариант.

Как же всё таки от этого защищаются?

Re: У кого из друзей установлено приложение?

Добавлено: 17 мар 2011, 19:34
Nick Lisogor
Во Flash клиенте никак, 100% защиты нет, т.к. есть декомпиляция.

Re: У кого из друзей установлено приложение?

Добавлено: 18 мар 2011, 15:17
aaanet
А если не именно в клиенте?
А вообще в связке клиент-php-mysql.

Как и какие данные лучше всего отправлять с клиента php скрипту?

Re: У кого из друзей установлено приложение?

Добавлено: 18 мар 2011, 15:33
Nick Lisogor
Если в цепочке участвует клиент, который можно декомпилировать, то, фактически, никак...

Re: У кого из друзей установлено приложение?

Добавлено: 18 мар 2011, 15:40
aaanet
Nick Lisogor писал(а):Если в цепочке участвует клиент, который можно декомпилировать, то, фактически, никак...
а как защищают другие приложения?

Re: У кого из друзей установлено приложение?

Добавлено: 18 мар 2011, 15:49
Nick Lisogor
Пока не знаю. Скорее, правильнее было бы сказать: не защищают, а усложняют взлом. Возможно, я не прав, это лишь мое субъективное мнение.

Re: У кого из друзей установлено приложение?

Добавлено: 19 мар 2011, 18:27
aaanet
Ну всё таки.

Слать обманные запросы к php.
Слать шифрованные md5, запутанные запросы к php.
Проверять auth_key.

Это конечно хорошо.
Но, можно декомпильнуть flash и изучить весь алгоритм шифра не сложно, человеку с прямыми руками.

Даже если не посылать очки на сервер, а просто чтобы каждая команда прибавления очков соответствовала php скрипту. А в свою очередь php скрипт сам работает с БД и отправляет клиенту всё посчитанное. Конечно в таком случае не исключено, что человек поменяет инфу когда она будет идти от php к flash'у, но это не страшно, всего лишь визуальный баг. НО! Ведь все эти запросы и правда легко дублировать.

Как обойти дублирование?

Re: У кого из друзей установлено приложение?

Добавлено: 23 мар 2011, 16:54
Noise Gate

Re: У кого из друзей установлено приложение?

Добавлено: 23 мар 2011, 19:06
aaanet
Noise Gate писал(а):http://flapps.ru/forum/topic547.html
по поводу дублирования я ничего не нашел в той теме.