Mailinglisten-Archive |
Abend, wuerd gern mitspielen:) > darf ich noch mals kurz zusammenfassen (einige scheinen die problematik > noch nicht ganz begriffen zu haben): > > - SWF-filme lassen sich mit dem action script viewer mühelos dekodieren > - die POST/GET-daten lassen sich mit packet-sniffern mühelos dumpen > > im grunde genommen ist der fall klar ... daten, die von der client-seite > her kommen sind als unsicher anzusehen. jegliche > verschlüsselungsversuche laufen deshalb in den hammer, denn diese > MÜSSTEN in dem falle client-seitig, im SWF-movie, passieren, da die > daten da noch unverschlüsselt vorliegen (auch wenn sie da vor dem > versenden verschlüsselt werden - die verschlüsselung zu knacken ist dank > offenem source-code der movies ein leichtes). > > deshalb: ich habe schon vorher den vorschlag gemacht, und finde es > übrigens immer noch die beste methode: der server liefert eine bestimmte > punktzahl, und erst wenn die erreicht ist, kann sich der user in die > rankings eintragen. somit verhindert man gewieft, dass man mithilfe > eines packet-dumps die POST/GET-daten erhält - wird nämlich nichts > gesendet. will jemand das game knacken, muss er also mit hilfe eines > proxies dieses file "faken" und z.b. die punktzahl '0' ans flash-game > liefern. Einen client nicht zu erlauben, einen Punktestand einzutragen umgeh ich doch dann indem ich den client ein wenig aendere. Dann interessiert es ihn naemlich nicht mehr, ob er vom server ein Ok fuers Punkte senden erhalten hat. Aber in gewisser Weise halte ich das fuer den richtigen Ansatz. Der sicherste client ist wohl der, der nicht auf dem Rechner des Spielers laueft. Also wuerd ich ihn auch soweit wie moeglich erst beim Spiel erstellen. Z.B. koennte sich auf dem Rechner des Spielers nur eine Art downloader befinden, der die eigentlichen Algorithmen erst beim Spielen vom server laedt. Die Frage ist, wie wenig sich auf dem Spieler-Rechner befinden muss, damit dieser erst zur Laufzeit an die erforderlichen Algorithmen kommt. Erst dann habe ich die Chance, dass einem hacker nicht genuegend Zeit bliebt, mit den Laufzeit-Daten einen geaenderten client zu fahren. Gruss, TomH -- Tom Horstmann - SeventhWeb www: http://www.7thweb.de email: info_(at)_7thweb.de cellphone: +49 174 4194970 --
php::bar PHP Wiki - Listenarchive