phpbar.de logo

Mailinglisten-Archive

[OT] Re: [php] Sichere Datenuebertragung von Flash nach PHP

[OT] Re: [php] Sichere Datenuebertragung von Flash nach PHP

Mario Aeby php_(at)_phpcenter.de
Fri, 12 Apr 2002 13:47:25 +0200


hi,

ich habe noch ein wenig überlegt, hier ein weiterer ansatzpunkt:

1) übermittlung mit POST nur wenn erspielte punkte > pts_min
------------------------------------------------------------
(vorher schon recht gründlich besproche) SWF included vom server ein
file, welches dem SWF sagt, ab welcher punktzahl ein eintrag in die
datenbank erlaubt werden soll. SQL-mässig:

SELECT * FROM ranking ORDER BY points DESC LIMIT 0,10

wenn der client also mehr punkte macht wie der letzte in den momentanen
top-10-rankings DARF er sich eintragen, sonst nicht. dies verhindert
doch schon einen grossteil der skript-kiddies. dies wäre zu umgehen,
wenn jemand einen proxy-aufsetzt und das file somit
man-in-the-middle-mässig faket. ich kann nicht abschätzen, wieviel
aufwand eine solche prozedur verursachen würde?

2) maximal-punktzahl durch intelligente SWF-programmierung
----------------------------------------------------------
generell sollte man SWF-games entwickeln, die eine (rechnerisch
belegbare) maximal-punktzahl haben. natürlich muss sich hier der
programmierer recht viel überlegen, doch hat er dies mal implementiert,
ist es ein einfaches, faker herauszufinden. denn die hacker sind (aus
eigener erfahrung *grins*) immer ein wenig übermütig. jedenfalls die
ganz doofen werden sich bei ihren kollegen einen namen machen wollen und
erscheinen mit einer punktzahl, die voll über der "schmerzgrenze" liegt.
die intelligenten wiederum werden sich so unaufällig wie möglich
verhalten und ihre punktzahl in den top-10-ansiedeln. diese sind in der
tat - haben sie denn obige "barriere" gebrochen - recht schwer zu
entdecken.

beides zusammen sind zwei recht einfach zu implementierende
konstruktionen, die doch eine recht grosse abschreckung darstellen.

von einem kollegen habe ich aber kürzlich erfahren (muss nicht stimmen,
kenn mich in _der_ materie doch weniger aus), dass mit speziellen tools
der RAM des clients nach punktzahlen durchsucht und diese dann
abgeändert werden können. wieviel da drann ist, lass ich andere
entscheiden ...

grüsse
mario
--
mario aeby, eMeidi.com
http://www.eMeidi.com


php::bar PHP Wiki   -   Listenarchive