AS3 драйвер для mySQL

[Mur4ik]

Не... тот я как раз читал, но там все вертелось вокруг того что это вообще невозможно, поэтому его и прикрыли. А оказалось что очень даже возможно... вот и интересуюсь подробностями, плюс может еще кому инфа сгодится.
А на счет "дыры", разве не для этого все "танцы с бубнами" с кроссдоменом, чтоб не каждый мог в базу лезть, а только swf c определенного домена?

видимо плохо читал, там и эта библиотека тоже проскакивала.
Короче спасибо всем, можно закрывать.

[Fillini]

Если не использовать серверного скрипта, то мы должны где то хранить пароли доступа к базе. Например у нас на серваке лежит файлик "pass.txt". Что мне мешает найти этот файл и написать php скрипт, и все таки уничтожить вашу базу. Я бообще не понимаю чем для вас плох серверный скрипт?

[BlooDHounD]

Mur4ik, 3й пост в той теме: http://www.flasher.ru/forum/showpost...24&postcount=3
по поводу кроссдоменника ... кросдоменник нужен, для того, что бы флэшплэйер был уверен, что ему можно законектится. но мне никто не мешает не конектится флэшплэйером в принципе. я могу законектится к вашей базе чем угодно. безопасность базы определяется разрешёнными ИП для конекта, и логином с паролем, которые в случаи с ОП открыты, а значит доступны всему интернету.

[Mur4ik]

Цитата:

Сообщение от Fillini

... Я бообще не понимаю чем для вас плох серверный скрипт?

Тем что я его практически не знаю.

Да я уже понял что это плохая затея и не для решения с широким кругом доступа пользователей.

[willis83]

А я говорил что такое возможно....
Всей компанией кинулись учить меня как работает sql, php и flash.. почем зря, и сам всё прекрасно знаю и понимаю как это работает. Весь крик о невозможности этой концепции состоит в том что кто-то отдекомпилит swf и достанет оттуда username и password от sql сервера, выходит невозможность заключается не в концепции клиент-сервер, а в декомпиляции swf-ки.... ну тут уже дело за адобе, полагаю можно придумать какой-нибудь внутренний алгоритм при компиляции чтобы никакой дизассемблер не смог вытащить имя и пароль на БД-шку.
P.S. не хочу поднимать старую тему, просто так ляпнул... мокрыми штанами об пол - ЛЯП

[iNils]

Цитата:

...чтобы никакой дизассемблер не смог вытащить имя и пароль на БД-шку.

Умный в гору не пойдет, он подождет когда с горы спустятся. Как только флеш будет коннектится к базе, любой сниффер перехватит передаваемые логин и пароль. И ломать ничего не надо.
Вы так ничего и не поняли.

[willis83]

Ну блиииин, существуют же кодированые протоколы передачи, конечно если в тупую давать запросы, то можно выдернуть. Короче спорить я не собираюсь, поживём увидим, нет так нет. Пока работаю на php.
Флэш довольно круто набирает популярность и это естевственно способствует тому чтобы он рос как технология, думаю это всё ещё будут прорабатывать.... может это будет совсем не sql, но что-то думаю будет.

[iNils]

Мечтайте, мечтайте.
Вы мне напоминаете нашего страшного любителя ас1, тот тоже ни кого не слушает.

[willis83]

Я не не слушаю... Точнее я слушаю и даже очень внимательно... ещё точнее я тут учусь. Но Ваше мнение по поводу этой темы через чур пессимистично.

[iNils]

Пессимистично?

Смотрите, текущая схем не требует ни каких сложных схем защиты (ломать то ломают, но это на порядки сложнее и чаще по недосмотру админов). Логин/пароль к бд хранится на сервере и клиент к нему доступа не имеет, более того, он даже не знает, где находится база и как она называется. Логин/пароль пароль хоть каждые 5 минут меняйте.

А вы предлагаете отдать это все клиенту, и чтобы клиент не смог узнать эти данные:
1. Придумать какой-то внутренний алгоритм защиты байт кода (брр что это?). Это при том, что swf открытый формат, то есть, по спецификации, любой может написать свой флеш плеер, а это значит, что он сможет эти данные узнать, иначе как его плеер будет работать? Ну, и по сути решить задачу защиты от взломщиков, которую еще пока ни кто не решил (даже в Майкрософте). 2. Или же использовать шифрованные протоколы, хотя это и сейчас можно, тот же https. Только и тут проблема, данные шифруются на стороне клиента, то есть опять же можно перехватить на этапе передаче данные от плеера к браузеру. Или вы думаете, что плеер сам по себе данные гоняет?

И все это приводит к одному. Стоит один раз взломать любой из предложенных вами мер защиты, как злоумышленник получает прямой доступ с базе. Чем это грозит?
1. Можно данные удалить. Если есть бэкап, не так страшно, но на время отката будет простой. И так будет постоянно (ну смените вы логин/пароль, но схема взлома уже отлажена и через 5 минут все повторится).
2. Нельзя на стороне сервера проверить корректность вводимых данных. Прямая дорога к махинациям.
3. Можно просто считать данные о всех пользователях, то есть о конфиденциальности можно забыть. А это уже чревато исками.
И самое печальное, что пункты 2 и 3 вы даже и просечь сразу не сможете, а потом уже поздно будет.