Форум Flasher.ru
Ближайшие курсы в Школе RealTime
Список интенсивных курсов: [см.]  
  
Специальные предложения: [см.]  
  
 
Блоги Правила Справка Пользователи Календарь Поиск рулит! Сообщения за день Все разделы прочитаны
 

Вернуться   Форум Flasher.ru > Flash > ActionScript 3.0

Версия для печати  Отправить по электронной почте    « Предыдущая тема | Следующая тема »  
Опции темы Опции просмотра
 
Создать новую тему Ответ
Старый 13.09.2010, 23:08
vsesh вне форума Посмотреть профиль Отправить личное сообщение для vsesh Найти все сообщения от vsesh
  № 1  
Ответить с цитированием
vsesh

Регистрация: Aug 2010
Сообщений: 15
По умолчанию Проверка данных на достоверность

Как проверять достоверность данных? Вопрос не о безопасности серверных скриптов на уязвимости, а именно на достоверность присылаемых данных. К примеру, есть игра, где можно набрать определенное кол-во очков. Как отфильтровать данные присылаемые flash, от других данных. Кто-нибудь наверняка попытается послать прямой запрос серверу со значениями "пользователь-1000000000 очков". Куда оправляются данные и текст посылаемых данных может быть узнан многими способами от firebug до снифферов.

Единственное, что приходит на ум - это криптография, но какой смысл в криптозащите, если любой swf можно вскрыть? swf с криптографией еще можно и обфусцировать. Но обфускация защищает код, а не значение переменных, то есть ключ шифрования в любом случаи можно узнать. Причем неважно какая криптозащита симметричная или асимметричная.

Старый 14.09.2010, 00:28
mikhailk вне форума Посмотреть профиль Отправить личное сообщение для mikhailk Найти все сообщения от mikhailk
  № 2  
Ответить с цитированием
mikhailk
 
Аватар для mikhailk

Регистрация: Nov 2009
Адрес: СПб
Сообщений: 2,236
Верифицировать на входе сервера.
Если проценты - то проверяем диапазон от 0 до 100.
Если коровы (а их в коровник влезает не больше 10) - проверяем диапазон 0-10
и т.д.

Старый 14.09.2010, 00:33
Tr1te вне форума Посмотреть профиль Отправить личное сообщение для Tr1te Найти все сообщения от Tr1te
  № 3  
Ответить с цитированием
Tr1te
 
Аватар для Tr1te

Регистрация: Jun 2009
Сообщений: 461
А если damage от 10-27. То проверять от 10 до 27, ну он и будет в пакет вставлять 27 и сервер это будет съедать, как максимальный damage.

Старый 14.09.2010, 00:38
mikhailk вне форума Посмотреть профиль Отправить личное сообщение для mikhailk Найти все сообщения от mikhailk
  № 4  
Ответить с цитированием
mikhailk
 
Аватар для mikhailk

Регистрация: Nov 2009
Адрес: СПб
Сообщений: 2,236
К сожалению, да
От технологии передачи данных зависит
Если это http-запросы, то подделать их можно, а значит и сервер обмануть можно

По факту верифицируется не только значение, но и частота запросов (напр, не чаще, чем 1 раз в 4 часа) - это должно быть учтено в геймплее.


На самом деле, тут где-то была тема - предлагался метод, который отсекает 80% кулл-кацкеров. Заключается в том, чтобы заэмбедить файлик с кодом в какой-нибудь кодировке, который потом в клиенте раскодировать и использовать для формирования цифровой подписи.

Кстати, вот:
http://www.flasher.ru/forum/showthread.php?t=142629

Старый 14.09.2010, 10:45
vsesh вне форума Посмотреть профиль Отправить личное сообщение для vsesh Найти все сообщения от vsesh
  № 5  
Ответить с цитированием
vsesh

Регистрация: Aug 2010
Сообщений: 15
Цитата:
Сообщение от Tr1te Посмотреть сообщение
А если damage от 10-27. То проверять от 10 до 27, ну он и будет в пакет вставлять 27 и сервер это будет съедать, как максимальный damage.
Вот именно от таких угроз я и хотел защитить сервер ... хотя конкретно в данном случае gamage надо на сервере вычислять, сохранять, а далее отправлять во flash.

Старый 14.09.2010, 11:04
mikhailk вне форума Посмотреть профиль Отправить личное сообщение для mikhailk Найти все сообщения от mikhailk
  № 6  
Ответить с цитированием
mikhailk
 
Аватар для mikhailk

Регистрация: Nov 2009
Адрес: СПб
Сообщений: 2,236
В идеале на клиенте не должно считаться вообще ничего.
Но в некоторых играх этого добиться достаточно сложно.

Старый 14.09.2010, 11:33
-De- вне форума Посмотреть профиль Отправить личное сообщение для -De- Найти все сообщения от -De-
  № 7  
Ответить с цитированием
-De-
 
Аватар для -De-

блогер
Регистрация: Oct 2005
Адрес: Днепродзержинск - город Брежнева и других логопедов
Сообщений: 1,421
Записей в блоге: 4
Отправить сообщение для -De- с помощью ICQ Отправить сообщение для -De- с помощью Skype™
У меня была идея генерить динамически для каждой сессии флэшку-модуль шифрования. Даже если в ней тупо забить ключ для конкретной сессии, то хацкеру надо будет автоматизировать декомпиляцию. А если там будет динамически генеримая (на основе ещё одного ключа, который только сервер знает) функция шифрования, алгоритм генерации которой почаще менять, то хацкеры могут задолбаться.
Но это методы скорее против создания ботов, как по мне.
__________________
Бобры отвечают на вопросы не потому, что знают на них ответы; они отвечают потому, что их спрашивают.

Создать новую тему Ответ Часовой пояс GMT +4, время: 11:12.
Быстрый переход
  « Предыдущая тема | Следующая тема »  

Теги
данные , защита , криптография , сервер
Опции темы
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.


 


Часовой пояс GMT +4, время: 11:12.


Copyright © 1999-2008 Flasher.ru. All rights reserved.
Работает на vBulletin®. Copyright ©2000 - 2024, Jelsoft Enterprises Ltd. Перевод: zCarot
Администрация сайта не несёт ответственности за любую предоставленную посетителями информацию. Подробнее см. Правила.