|
|
|||||
ветеран форума
|
Не... тот я как раз читал, но там все вертелось вокруг того что это вообще невозможно, поэтому его и прикрыли. А оказалось что очень даже возможно... вот и интересуюсь подробностями, плюс может еще кому инфа сгодится.
А на счет "дыры", разве не для этого все "танцы с бубнами" с кроссдоменом, чтоб не каждый мог в базу лезть, а только swf c определенного домена? видимо плохо читал, там и эта библиотека тоже проскакивала. Короче спасибо всем, можно закрывать.
__________________
trace("Остановите Землю, я сойду!!!"); Последний раз редактировалось Mur4ik; 20.03.2009 в 22:35. |
|
|||||
Если не использовать серверного скрипта, то мы должны где то хранить пароли доступа к базе. Например у нас на серваке лежит файлик "pass.txt". Что мне мешает найти этот файл и написать php скрипт, и все таки уничтожить вашу базу. Я бообще не понимаю чем для вас плох серверный скрипт?
|
|
|||||
стервочка (я мужик)
|
Mur4ik, 3й пост в той теме: http://www.flasher.ru/forum/showpost...24&postcount=3
по поводу кроссдоменника ... кросдоменник нужен, для того, что бы флэшплэйер был уверен, что ему можно законектится. но мне никто не мешает не конектится флэшплэйером в принципе. я могу законектится к вашей базе чем угодно. безопасность базы определяется разрешёнными ИП для конекта, и логином с паролем, которые в случаи с ОП открыты, а значит доступны всему интернету. |
|
|||||
ветеран форума
|
Тем что я его практически не знаю.
Да я уже понял что это плохая затея и не для решения с широким кругом доступа пользователей.
__________________
trace("Остановите Землю, я сойду!!!"); |
|
|||||
А я говорил что такое возможно....
Всей компанией кинулись учить меня как работает sql, php и flash.. почем зря, и сам всё прекрасно знаю и понимаю как это работает. Весь крик о невозможности этой концепции состоит в том что кто-то отдекомпилит swf и достанет оттуда username и password от sql сервера, выходит невозможность заключается не в концепции клиент-сервер, а в декомпиляции swf-ки.... ну тут уже дело за адобе, полагаю можно придумать какой-нибудь внутренний алгоритм при компиляции чтобы никакой дизассемблер не смог вытащить имя и пароль на БД-шку. P.S. не хочу поднимать старую тему, просто так ляпнул... мокрыми штанами об пол - ЛЯП |
|
|||||
Негуру
администратор
Регистрация: Jan 2000
Адрес: Кёнигсберг in Moscow
Сообщений: 21,879
Записей в блоге: 7
|
Цитата:
Вы так ничего и не поняли. Последний раз редактировалось iNils; 21.03.2009 в 18:35. |
|
|||||
Ну блиииин, существуют же кодированые протоколы передачи, конечно если в тупую давать запросы, то можно выдернуть. Короче спорить я не собираюсь, поживём увидим, нет так нет. Пока работаю на php.
Флэш довольно круто набирает популярность и это естевственно способствует тому чтобы он рос как технология, думаю это всё ещё будут прорабатывать.... может это будет совсем не sql, но что-то думаю будет. Последний раз редактировалось willis83; 21.03.2009 в 19:10. |
|
|||||
Я не не слушаю... Точнее я слушаю и даже очень внимательно... ещё точнее я тут учусь. Но Ваше мнение по поводу этой темы через чур пессимистично.
|
|
|||||
Негуру
администратор
Регистрация: Jan 2000
Адрес: Кёнигсберг in Moscow
Сообщений: 21,879
Записей в блоге: 7
|
Пессимистично?
Смотрите, текущая схем не требует ни каких сложных схем защиты (ломать то ломают, но это на порядки сложнее и чаще по недосмотру админов). Логин/пароль к бд хранится на сервере и клиент к нему доступа не имеет, более того, он даже не знает, где находится база и как она называется. Логин/пароль пароль хоть каждые 5 минут меняйте. А вы предлагаете отдать это все клиенту, и чтобы клиент не смог узнать эти данные: 1. Придумать какой-то внутренний алгоритм защиты байт кода (брр что это?). Это при том, что swf открытый формат, то есть, по спецификации, любой может написать свой флеш плеер, а это значит, что он сможет эти данные узнать, иначе как его плеер будет работать? Ну, и по сути решить задачу защиты от взломщиков, которую еще пока ни кто не решил (даже в Майкрософте). 2. Или же использовать шифрованные протоколы, хотя это и сейчас можно, тот же https. Только и тут проблема, данные шифруются на стороне клиента, то есть опять же можно перехватить на этапе передаче данные от плеера к браузеру. Или вы думаете, что плеер сам по себе данные гоняет? И все это приводит к одному. Стоит один раз взломать любой из предложенных вами мер защиты, как злоумышленник получает прямой доступ с базе. Чем это грозит? 1. Можно данные удалить. Если есть бэкап, не так страшно, но на время отката будет простой. И так будет постоянно (ну смените вы логин/пароль, но схема взлома уже отлажена и через 5 минут все повторится). 2. Нельзя на стороне сервера проверить корректность вводимых данных. Прямая дорога к махинациям. 3. Можно просто считать данные о всех пользователях, то есть о конфиденциальности можно забыть. А это уже чревато исками. И самое печальное, что пункты 2 и 3 вы даже и просечь сразу не сможете, а потом уже поздно будет. |
Часовой пояс GMT +4, время: 00:09. |
|
« Предыдущая тема | Следующая тема » |
|
|