Доступ к Php скриптам только из swf

sstotenkopf · 03.04.2012, 04:28

Всем привет! Появилась задача: воспрепятствовать обращению злоумышленника к пхп скриптам напрямую, чтобы они запускались только из swf, такое возможно?

kackbip · 03.04.2012, 09:22

Нет, невозможно. Тем более, что обращается к php не swf, а браузер.

Zebestov · 03.04.2012, 10:21

Пресечь обращение "не из swf" невозможно. Но сделать защиту "от дурака", при которой вызов скрипта будет узнавать нужный запрос, можно. Создаем строку запроса к серверу, добавляем к ней ключик, который заложен в swf, создаем MD5 хеш полученной строки, добавляем его к исходному запросу и отсылаем скрипту. Скрипт первым делом воссоздает все эти же действия с тем же ключом и проверяет MD5 хеши: полученный и воссозданный. Если не совпадают — злоумышленник. Если совпадают — твоя swf... или трудолюбивый злоумышленник с декомпилятором.

DaFive · 03.04.2012, 13:24

Плюс сделать, чтобы обращались только с определенного домена, в htaccess.

Genzo · 03.04.2012, 13:29

Цитата:

Плюс сделать, чтобы обращались только с определенного домена, в htaccess.

Флешка запускается не на домене, а на клиенте.

sstotenkopf · 03.04.2012, 23:16

Цитата:

Сообщение от Zebestov

Пресечь обращение "не из swf" невозможно. Но сделать защиту "от дурака", при которой вызов скрипта будет узнавать нужный запрос, можно. Создаем строку запроса к серверу, добавляем к ней ключик, который заложен в swf, создаем MD5 хеш полученной строки, добавляем его к исходному запросу и отсылаем скрипту. Скрипт первым делом воссоздает все эти же действия с тем же ключом и проверяет MD5 хеши: полученный и воссозданный. Если не совпадают — злоумышленник. Если совпадают — твоя swf... или трудолюбивый злоумышленник с декомпилятором.

В том то и дело, что любой дурак может декомпилировать и посмотреть способ формирования ключика, без декомпиляции человек в принципе и так не узнает адрес скрипта и какие переменные туда постить... Как то же защищают люди свои приложения... только вот как...

Добавлено через 2 минуты

Цитата:

Сообщение от kackbip

Нет, невозможно. Тем более, что обращается к php не swf, а браузер.

Если уж на то пошло обращается флеш плагин) Можно приложение так же открыть через флеш плеер и без проблем обратиться)

Zebestov · 03.04.2012, 23:51

Цитата:

Сообщение от sstotenkopf

...без декомпиляции человек в принципе и так не узнает адрес скрипта и какие переменные туда постить

Приехали. Спроси у гугла про "sniffer".

sstotenkopf · 04.04.2012, 00:01

Цитата:

Сообщение от Zebestov

Приехали. Спроси у гугла про "sniffer".

Ступил) А он покажет названия переменных? Вообщем пришел к выводу, что лучше пойти другим путем, сейчас буду продумывать концепцию)

Astraport · 04.04.2012, 00:07

Цитата:

Флешка запускается не на домене, а на клиенте.

Ну все правильно он сказал - флэшка проверяет с какого домена идут запросы. Это хорошая вещь для улучшения безопасности.

kackbip · 04.04.2012, 09:23

Цитата:

Сообщение от sstotenkopf

Если уж на то пошло обращается флеш плагин) Можно приложение так же открыть через флеш плеер и без проблем обратиться)

Если коротко то - нет.
А если намекнуть то - "Так плагин или плеер?"