Кто знает, поясните мне пожалуйста принципы защиты приложений контакта от взлома.

У приложения есть секретный код, который нужен для подписи запросов, как обычных, так и защищенных.
Как я понял, в флешке используются запросы по обычной схеме, т.е. секретный код при декомпиляции можно извлечь.
И получается, что зная id приложения и его секретный код, можно с помощью своего сервера и функции "secure.transferVotes" перетащить голоса к себе.

Это так?
Или правильные приложения запрашивают свой сервер на любое действие с апи контакта, чтобы не хранить секретный код в флешке?

Спасибо.

Есть два ключа. Private и Secure.

Для обычных запросов используется клиентский ключ, для защищенных —*ключ платежей. Защищенные методы вызываются через сервер разработчика, более того — алгоритмы, отвечающие за перевод голосов, должны прописываться в серверных скриптах, а не во флэшке. Флэшка только отображает.

Ясно, спасибо!