FAQ |
Kalender |
2006-01-31, 10:01 | #1 | ||
|
|||
Mycket flitig postare
|
Tips och tankar uppskattas, problemet bollas enormt här just nu!
Du har ett flash-spel där du spelar spelet och när du "förlorar" skickas poängen till en URL (PHP-sida) som tar emot datan och sparar i databasen. När man tänker efter, kan man decompile:a spelet, ta url:en och skriva in vad för poäng man önskar, och besöka den URL:en. Vips så ligger du 1:a med 100 ggr mer poäng än 2:an. Hur i hela friden skulle man kunna skydda denna process så att folk inte på måfå kan posta. Allt kan ju fejkas som t.ex. cookies, domäner och även sessioner. Man kan ju försvåra för användaren genom cookies som inte lagras synliga i html-koden men även där kan den som har mycket tid över se hur flash scriptet läser cookien och rapporterar med den. Ja, ni förstår nog problemet rätt mycket. Vad har ni för tankar? Uppskattas! Tack! Robban |
||
Svara med citat |
2006-01-31, 10:27 | #2 | ||
|
|||
Medlem
|
Tja ett sätt borde kunna vara att göra det genom att ta de data som användaren matar in i spelet och lägga ihop till en egen sträng, lägga till ett eget känt salt-värde (namn + score + salt) och sedan "MD5-kryptera" detta. Sedan skickar du orginalvärdena + ditt MD5-värde till din url (OBS skicka ej salt-värdet). På serversidan så gör du samma sak, lägger ihop de strängar som du erhöll genom url:en med ditt kända salt-värde. Sedan jämför du det MD5 du fick med där med det MD5 du fick i URL:en. Om detta är samma så är det väldigt troligt att datan är riktig.
Detta kräver dock att ditt salt-värde är hemligt för utomstående. Det har väl tidigare funnits problem med att man har kunnat "dekompilera" flashfiler vad jag har förstått och fått fram data likt denna. Tyvärr så är jag en nolla på flash, så risken för att detta ska kunna göras överlåter jag till någon annan att uppskatta. /Henning |
||
Svara med citat |
2006-01-31, 10:37 | #3 | ||
|
|||
Mycket flitig postare
|
Redan påtänkt med kontrollsummor etc... Men som sagt, dekompilerar man koden så finner man även salt-värdet
Ett sätt kan ju vara att hämta salt-värdet från en utomstående url men även detta kan ju ses med egna ögon och hämtas |
||
Svara med citat |
2006-01-31, 11:26 | #4 | ||
|
|||
Medlem
|
Fråga är hur stor säkerhet du behöver? Om du måste ha maximal säkerhet så får du skippa HTTP anrop.
Om spelet hanterar pengar/vinster så är det ju värt att lägga ner extra tid på det. Men om det bara är en highscore lista så räcker det nog med liknande lösningar som kontrollsummor osv. Du kan ju dock kontrollera vilket IP-nummer som skickar in resultatet. Om anropet kommer från ett ip annat än din server så nekar du det. |
||
Svara med citat |
2006-01-31, 11:28 | #5 | |||
|
||||
Klarade millennium-buggen
|
Kan inte klientens spel göra en handshake med din server när det startas så samt att en unik nyckel (används vid generering av hash) genereras och skickas just till denna klient (detta lagrar din server så att denna nyckel även verifieras vid inskickning av highscore etc.).
Detta borde väl göra det lite svårare när nyckeln är okänd fram tills det att spelet startar.... om du hänger med på min virriga förklaring... |
|||
Svara med citat |
2006-01-31, 11:41 | #6 | ||
|
|||
Mycket flitig postare
|
Citat:
Problemet med IP nr är väl att flash-spelet körs från klientsidan så den rapporterar väl inte serverns ip? |
||
Svara med citat |
2006-01-31, 11:43 | #7 | ||
|
|||
Mycket flitig postare
|
Citat:
|
||
Svara med citat |
2006-01-31, 12:06 | #8 | ||
|
|||
Medlem
|
Kanske kan detta vara ett alternativ:
htt p://www.fla shin crypt.com/product.htm /Henning |
||
Svara med citat |
2006-01-31, 22:01 | #9 | ||
|
|||
Medlem
|
Har själv haft samma problem. För att få maximal säkerhet måste du använda dig av flash communication server, men den är svin dyr (60 000+).
Vad är det för spel, vad gör man? |
||
Svara med citat |
2006-02-01, 10:46 | #10 | ||
|
|||
Mycket flitig postare
|
Citat:
|
||
Svara med citat |
Svara |
|
|