phpbar.de - Mailinglisten-Archive

Mailinglisten-Archive

[OT] Re: [php] Sichere Datenuebertragung von Flash nach PHP

Tom Horstmann php_(at)_phpcenter.de
Thu, 11 Apr 2002 22:27:41 +0200

Previous message: [OT] Re: [php] Sichere Datenuebertragung von Flash nach PHP
Next message: [OT] Re: [php] Sichere Datenuebertragung von Flash nach PHP
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

Abend,

wuerd gern mitspielen:)

> darf ich noch mals kurz zusammenfassen (einige scheinen die problematik
> noch nicht ganz begriffen zu haben):
>
> - SWF-filme lassen sich mit dem action script viewer mühelos dekodieren
> - die POST/GET-daten lassen sich mit packet-sniffern mühelos dumpen
>
> im grunde genommen ist der fall klar ... daten, die von der client-seite
> her kommen sind als unsicher anzusehen. jegliche
> verschlüsselungsversuche laufen deshalb in den hammer, denn diese
> MÜSSTEN in dem falle client-seitig, im SWF-movie, passieren, da die
> daten da noch unverschlüsselt vorliegen (auch wenn sie da vor dem
> versenden verschlüsselt werden - die verschlüsselung zu knacken ist dank
> offenem source-code der movies ein leichtes).
>
> deshalb: ich habe schon vorher den vorschlag gemacht, und finde es
> übrigens immer noch die beste methode: der server liefert eine bestimmte
> punktzahl, und erst wenn die erreicht ist, kann sich der user in die
> rankings eintragen. somit verhindert man gewieft, dass man mithilfe
> eines packet-dumps die POST/GET-daten erhält - wird nämlich nichts
> gesendet. will jemand das game knacken, muss er also mit hilfe eines
> proxies dieses file "faken" und z.b. die punktzahl '0' ans flash-game
> liefern.

Einen client nicht zu erlauben, einen Punktestand einzutragen umgeh ich
doch dann indem ich den client ein wenig aendere. Dann interessiert es
ihn naemlich nicht mehr, ob er vom server ein Ok fuers Punkte senden
erhalten hat.

Aber in gewisser Weise halte ich das fuer den richtigen Ansatz. Der
sicherste
client ist wohl der, der nicht auf dem Rechner des Spielers laueft. Also
wuerd ich ihn auch soweit wie moeglich erst beim Spiel erstellen. Z.B.
koennte sich auf dem Rechner des Spielers nur eine Art downloader befinden,
der die eigentlichen Algorithmen erst beim Spielen vom server laedt.
Die Frage ist, wie wenig sich auf dem Spieler-Rechner befinden muss,
damit dieser erst zur Laufzeit an die erforderlichen Algorithmen kommt.
Erst dann habe ich die Chance, dass einem hacker nicht genuegend Zeit
bliebt, mit den Laufzeit-Daten einen geaenderten client zu fahren.


Gruss,

TomH

--
Tom Horstmann - SeventhWeb

www:  http://www.7thweb.de
email:      info_(at)_7thweb.de
cellphone: +49 174 4194970

--

Previous message: [OT] Re: [php] Sichere Datenuebertragung von Flash nach PHP
Next message: [OT] Re: [php] Sichere Datenuebertragung von Flash nach PHP
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

php::bar PHP Wiki - Listenarchive