Онлайн-игры и защита от лома - Страница 5

Skubent · 27.01.2006, 11:37

Цитата:

Сообщение от Loki666

HTML > Flash > В первом же фрейме Flash конектится и отдает ключ.

Сниффается траффик, в момент отдачи ключа еще сервером и устанавливается соединение с сервером от имени запущенной флэшки. Запущенная флэшка заливается потоком требований на открытие соединения, чтобы наверняка не пролезла к серверу.

JudgeFog · 27.01.2006, 12:42

>>Запущенная флэшка заливается потоком требований

нафига?
простой робот, запущенный на том же php на локальной машине,
и страницу с сервака возьмет, и html пропарсит в поисках ключа.

я делал так: внутри флэхи есть некий длинный пароль (потом работает SWFencrypt), серверу отдаем цифру набранных в игре очков и md5 от строки пароль+очки, на сервере сравниваем хэши. Всё.

aQuestion · 27.01.2006, 16:00

Цитата:

Сообщение от Loki666

Допустим мы зашли через сайт открыли нормальную Flash-ку. Скопировали ее клич, и записали в поддельную, но нормальная Flash-ка уже соединилась и ключ уже больше не действителен.

Допустим мы качнули её регетом или ещё как

aQuestion · 27.01.2006, 16:02

блин, да дайте уже хакеру приз, чтоб отстал.

Gaen · 27.01.2006, 19:36

Цитата:

Сообщение от Loki666

Ну и, а ключа то она не знает. Принцип.
HTML > Flash > В первом же фрейме Flash конектится и отдает ключ.

Ну сделали мы поддельную flash-ку. Но как мы узнаем какой ключ щас в базе на сервере ждет коннекта.

Допустим мы зашли через сайт открыли нормальную Flash-ку. Скопировали ее клич, и записали в поддельную, но нормальная Flash-ка уже соединилась и ключ уже больше не действителен.

вырубаем флэш-плагин, грузим сайт, получаем ключик, причём он же остаёца в базе на сервере,так как ничего туда не коннектица. Клепаем поддельную флэшку...

Homo Sapiens · 30.01.2006, 21:11

Несколько комментариев ко всему вышесказанному:
1. md5 морально устарела. Это ненадёжный алгоритм и не стоит им пользоваться
2. sha1 постепенно утрачивает надёжность, благо сообщения о нахождении коллизий уже поступали. Соответственно, стараемся переходить на sha2.
3. Как я понял цель - убедиться, что критические данные поступают из надёжного источника, то есть из не вломанной игры. Проблема в том, что не стоит переносить обработку критических данных на клиент. Может быть стоит открыть сокет соединение и передавать на сервер инфу обо всех действиях и назад забирать результат расчётов. В итоге flash код не будет иметь никакой секретной информации (то есть не будет расчитывать результаты, а заниматься только визуальной частью), поэтому проблема его взлома не будет стоять так остро.

aQuestion · 31.01.2006, 11:39

по первым двум пунктам, ерунда-с. ну, пара китайских учёных нашла несколько коллизий на специально подобранных для этого данных. дальше что? кому удалось найти коллизию для мд5 в общем случае хотя бы в эн (где эн больше 1) раз быстрее, чем перебором? или что, если завтра очередной китайский гений таки додумается до этого, он сразу бросится ломать твою флешку ради ста уёв? или же он из наивно-альтруистических побуждений выложит свой сорц на http://breakMD5here.com/ ? люди переводят массу кода на шаХ по тем же причинам, что не едят курятину - паника совершенно беспочвенна.

Homo Sapiens · 01.02.2006, 05:32

Не считаю себя экспертом в криптографии, соответственно ссылаюсь на авторитетные источники, например Брюса Шнайера. Находим в них его отношение к md5 и к sha1. Вполне возможно, что он ошибается, но я бы прислушался к его мнению.

Skubent · 01.02.2006, 12:19

А он пишет, сколько нужно времени на взлом md5 ?
То есть если допустить, что каждому 5(10)-ти символьному паролю соответствует 33-х символьный "крэк", и оба они дают на выходе md5 одинаковые значения, что быстрее найти ?

aQuestion · 01.02.2006, 18:59

Цитата:

Сообщение от Homo Sapiens

ссылаюсь на авторитетные источники, например Брюса Шнайера

Цитата:

Сообщение от Брюс Шнайер

[IMG]http://img360.**************/img360/4122/19cf.gif[/IMG]

Цитата:

Сообщение от Flasher.ru

Набранное вами сообщение слишком короткое. Увеличьте ваше сообщение до 5 символов.

12345