Tips och tankar uppskattas, problemet bollas enormt här just nu!

Du har ett flash-spel där du spelar spelet och när du "förlorar" skickas poängen till en URL (PHP-sida) som tar emot datan och sparar i databasen. När man tänker efter, kan man decompile:a spelet, ta url:en och skriva in vad för poäng man önskar, och besöka den URL:en. Vips så ligger du 1:a med 100 ggr mer poäng än 2:an.

Hur i hela friden skulle man kunna skydda denna process så att folk inte på måfå kan posta. Allt kan ju fejkas som t.ex. cookies, domäner och även sessioner.

Man kan ju försvåra för användaren genom cookies som inte lagras synliga i html-koden men även där kan den som har mycket tid över se hur flash scriptet läser cookien och rapporterar med den.

Ja, ni förstår nog problemet rätt mycket.

Vad har ni för tankar?

Uppskattas!

Tack!

Robban

Tja ett sätt borde kunna vara att göra det genom att ta de data som användaren matar in i spelet och lägga ihop till en egen sträng, lägga till ett eget känt salt-värde (namn + score + salt) och sedan "MD5-kryptera" detta. Sedan skickar du orginalvärdena + ditt MD5-värde till din url (OBS skicka ej salt-värdet). På serversidan så gör du samma sak, lägger ihop de strängar som du erhöll genom url:en med ditt kända salt-värde. Sedan jämför du det MD5 du fick med där med det MD5 du fick i URL:en. Om detta är samma så är det väldigt troligt att datan är riktig.

Detta kräver dock att ditt salt-värde är hemligt för utomstående. Det har väl tidigare funnits problem med att man har kunnat "dekompilera" flashfiler vad jag har förstått och fått fram data likt denna. Tyvärr så är jag en nolla på flash, så risken för att detta ska kunna göras överlåter jag till någon annan att uppskatta.

/Henning

Redan påtänkt med kontrollsummor etc... Men som sagt, dekompilerar man koden så finner man även salt-värdet :)

Ett sätt kan ju vara att hämta salt-värdet från en utomstående url men även detta kan ju ses med egna ögon och hämtas :(

Fråga är hur stor säkerhet du behöver? Om du måste ha maximal säkerhet så får du skippa HTTP anrop.

Om spelet hanterar pengar/vinster så är det ju värt att lägga ner extra tid på det. Men om det bara är en highscore lista så räcker det nog med liknande lösningar som kontrollsummor osv.

Du kan ju dock kontrollera vilket IP-nummer som skickar in resultatet. Om anropet kommer från ett ip annat än din server så nekar du det.

Kan inte klientens spel göra en handshake med din server när det startas så samt att en unik nyckel (används vid generering av hash) genereras och skickas just till denna klient (detta lagrar din server så att denna nyckel även verifieras vid inskickning av highscore etc.).

Detta borde väl göra det lite svårare när nyckeln är okänd fram tills det att spelet startar.... om du hänger med på min virriga förklaring... :)

Just nu är det bara highscore, men skulle vara skönt med en generell lösning som kan användas även när priser är inblandat.

Problemet med IP nr är väl att flash-spelet körs från klientsidan så den rapporterar väl inte serverns ip?

Mjodå, förstår precis hur du tänker. Men om vi säger så här då, ja dekrypterar flash filen... Ser url:en som anropas för att få en nyckel... Anropar den i webbläsaren och får nyckeln... Använder nyckeln i anropet för att registrera highscoret :-)

Kanske kan detta vara ett alternativ:

htt p://www.fla shin crypt.com/product.htm

/Henning

Har själv haft samma problem. För att få maximal säkerhet måste du använda dig av flash communication server, men den är svin dyr (60 000+).
Vad är det för spel, vad gör man?

Ska kika på den!

60 kkr + ? Fyfan... Skulle vara om man hade flera kunder med Flash applikationer som behöver skydd. Tips på läsning ang. denna produkt?

Finns det inget webbhotell som erbjuder den då?

http://www.firstserv.com/hostingServices/s...sting/flashCom/
Där hittar du även lite länkar med mer info om Flash comm.
Det blir inte billigt om man använder mycker bandbredd dock.

Men det stämmer att det inte finns något speciellt säkert sätt att skicka poäng annars.
Det bästa man kan göra är förmodligen att obfuskera sin krypterings rutin så att det blir lite knepigt att få fram den genom att helt enkelt dekompilera swf filen.
Är man vass på bytecode kan man köra med Flasm och förmodligen få ett system som är tillräckligt obfust för att det måste vara rätt värdefulla priser för att någon skall orka bry sig om att cracka en sådan lösning.
Kombinera detta med med cookies, dela upp responsen i fragment som ditt serverscript kan begripa hur de skall passa ihop genom en inbyggd kod och du har väl ett relativt säkert system.

Jag har även sett några komersiella lösningar och dedikerad spelhosting som kanske kan vara intressanta och billigare än att köra med Flash comm.
Jag minns dock inga namn eller länkar och hur säkra de är har jag ingen aning om.

Du kan även göra rimlighetskontroller där spelet skapar checksummor för förfluten tid, antal poäng per nivå (beroende på speltyp etc). I många spel så kan man med säkerhet veta vad maximalt antal poäng som är möjligt att få per bana, etc. All denna info kan du sedan kolla av på servern.

Det som borde vara omöjligt för spelaren att ta reda på (utan att själv spela igenom spelet) är hur denna rimlighet ligger till.