|
|
|||||
Регистрация: Aug 2010
Сообщений: 15
|
Проверка данных на достоверность
Как проверять достоверность данных? Вопрос не о безопасности серверных скриптов на уязвимости, а именно на достоверность присылаемых данных. К примеру, есть игра, где можно набрать определенное кол-во очков. Как отфильтровать данные присылаемые flash, от других данных. Кто-нибудь наверняка попытается послать прямой запрос серверу со значениями "пользователь-1000000000 очков". Куда оправляются данные и текст посылаемых данных может быть узнан многими способами от firebug до снифферов.
Единственное, что приходит на ум - это криптография, но какой смысл в криптозащите, если любой swf можно вскрыть? swf с криптографией еще можно и обфусцировать. Но обфускация защищает код, а не значение переменных, то есть ключ шифрования в любом случаи можно узнать. Причем неважно какая криптозащита симметричная или асимметричная. |
|
|||||
Регистрация: Nov 2009
Адрес: СПб
Сообщений: 2,236
|
Верифицировать на входе сервера.
Если проценты - то проверяем диапазон от 0 до 100. Если коровы (а их в коровник влезает не больше 10) - проверяем диапазон 0-10 и т.д. |
|
|||||
Регистрация: Jun 2009
Сообщений: 461
|
А если damage от 10-27. То проверять от 10 до 27, ну он и будет в пакет вставлять 27 и сервер это будет съедать, как максимальный damage.
|
|
|||||
Регистрация: Nov 2009
Адрес: СПб
Сообщений: 2,236
|
К сожалению, да
От технологии передачи данных зависит Если это http-запросы, то подделать их можно, а значит и сервер обмануть можно По факту верифицируется не только значение, но и частота запросов (напр, не чаще, чем 1 раз в 4 часа) - это должно быть учтено в геймплее. На самом деле, тут где-то была тема - предлагался метод, который отсекает 80% кулл-кацкеров. Заключается в том, чтобы заэмбедить файлик с кодом в какой-нибудь кодировке, который потом в клиенте раскодировать и использовать для формирования цифровой подписи. Кстати, вот: http://www.flasher.ru/forum/showthread.php?t=142629 |
|
|||||
Регистрация: Aug 2010
Сообщений: 15
|
Вот именно от таких угроз я и хотел защитить сервер ... хотя конкретно в данном случае gamage надо на сервере вычислять, сохранять, а далее отправлять во flash.
|
|
|||||
Регистрация: Nov 2009
Адрес: СПб
Сообщений: 2,236
|
В идеале на клиенте не должно считаться вообще ничего.
Но в некоторых играх этого добиться достаточно сложно. |
|
|||||
блогер
Регистрация: Oct 2005
Адрес: Днепродзержинск - город Брежнева и других логопедов
Сообщений: 1,421
Записей в блоге: 4
|
У меня была идея генерить динамически для каждой сессии флэшку-модуль шифрования. Даже если в ней тупо забить ключ для конкретной сессии, то хацкеру надо будет автоматизировать декомпиляцию. А если там будет динамически генеримая (на основе ещё одного ключа, который только сервер знает) функция шифрования, алгоритм генерации которой почаще менять, то хацкеры могут задолбаться.
Но это методы скорее против создания ботов, как по мне.
__________________
Бобры отвечают на вопросы не потому, что знают на них ответы; они отвечают потому, что их спрашивают. |
Часовой пояс GMT +4, время: 16:25. |
|
« Предыдущая тема | Следующая тема » |
Теги |
данные , защита , криптография , сервер |
Опции темы | |
Опции просмотра | |
|
|