Güvenli skor gönderme

oCRaCy · 18.08.2007

Flashda yaptığım bir oyunu internetten oynabilir hale getirip üyelikli bir sisteme dahil edip skor board yapmak istiyorum.. ama illegal yoldan veri gönderilmesini engellemek adına bir yol veya bir mantık aklıma gelmedi..

Mesela flash oyunumdan skoru index.PHP ye şu şekilde yollasam

PHP Code:


			
var gond=new LoadVars();

var cevap=new LoadVars();

gond.skor=skor;

gond.isim=kim;

cevap.onLoad=function(ok){

if(ok)

{

trace("oldu bu iş");

}

}

        gond.sendAndLoad('goto.PHP',cevap,"POST");

goto.PHP
-----------------------

PHP Code:


			
skoru_databaseyolla($_POST[....});

bu haliyle sistem güzel fakat

herhangi biri SWF yi fla ya çevirip kodları görüp hangi PHP ye gönderildiğini anlayınca

el ile POST verileriri yollayabilir.

Bunun öünü geçebilmek adına ne tür bi mantık düşünebilir ?

SWF encrypt dışında tabi

kuduk · 18.08.2007

Alıntı:

oCRaCy tarafından gönderilen mesaj:

Flashda yaptığım bir oyunu internetten oynabilir hale getirip üyelikli bir sisteme dahil edip skor board yapmak istiyorum.. ama illegal yoldan veri gönderilmesini engellemek adına bir yol veya bir mantık aklıma gelmedi..

Mesela flash oyunumdan skoru index.PHP ye şu şekilde yollasam

PHP Code:


			
var gond=new LoadVars();

var cevap=new LoadVars();

gond.skor=skor;

gond.isim=kim;

cevap.onLoad=function(ok){

if(ok)

{

trace("oldu bu iş");

}

}

        gond.sendAndLoad('goto.PHP',cevap,"POST");

goto.PHP
-----------------------

PHP Code:


			
skoru_databaseyolla($_POST[....});

bu haliyle sistem güzel fakat

herhangi biri SWF yi fla ya çevirip kodları görüp hangi PHP ye gönderildiğini anlayınca

el ile POST verileriri yollayabilir.

Bunun öünü geçebilmek adına ne tür bi mantık düşünebilir ?

SWF encrypt dışında tabi

kodu SWF ve PHP birikimimin olmamasi ile bilemeyecegim ama temelde verinin kriptolanarak gonderilmesi esastir. Bu nedenle SWF nin bir sekilde session bilgisini esas alan bir ticket ile sifreleyip gondermen dogru olacaktir. Session bilgisi bir login islemi olarak degil, hangi ip den, baglantinin ne zaman yapildigini esas alan bir ticket olabilir.

1. istemci:sunucu da session ac
2. sunucu:session kaydet
3. istemci:session zamanini sunucudan al
4. istemci:sonucu zaman+ip nin string degeri ile kriptola
5. istemci: sonucu gonder
6. sunucu: session bilgisi daha once kullanilmamis ve zamani tutuyor ise sonucu kaydet

sifrelememekte israr ediyorsan sinirli olarak session olusturulma tarihi de gecersiz veri girisine engel olur.

oCRaCy · 18.08.2007

Adımlar gayet mantıklı da flash la session oluşturma işlemi yapılmıyor. Sessionu PHP ile oluşturup skoru yollarsam sanırım yine aynı şekilde skor okunurken flashdan gelip gelmediği anlaşılmaz sanırım.

perplex · 19.08.2007

3 yolu var:

1) arkadaşın bahsettiği gibi session yada başka belirleyici bir datayı md5 vs gibi bir fonksiyonla cryptolıyarak flash'a yükleme ordan da datanın işleniceği server side sayfaya yollayıp kontrol ettirme. yani SWF nin olduğu sayfada object/embed koduna :

oyun.SWF?user=<?=md5($_SESSION["userid"]?> vs gibi. sonra flash da da _root.user ı tekrar loadvars instance ına katıp PHP sayfasına yollayabilirsin. ordan da check edersin.

2) flash media server kullanma :

En etkili yol. media server da bir application oluşturursun. bununla flash dan herhangi bir data yollayıp belirli crypto işlemlerini gerçekleştirir, sonra bunu server da bir dizine dosyaya yazarsın. daha sonra da PHP ile dosyayı okuyup içindeki datayı kıyaslarsın. hem PHP hem media server applicationı (.asc dosyası) server side olduğu için kimse ne döndüğünü anlamaz. Ama tabi flash media server maliyetli.

3) ming ya da libswf vs gibi PHP libraryleri kullanmak ki bu aslında pek bir seçenek sayılmaz. Sonuçta ming kodların çoğunu desteklemiyor.

çözümler bunlar ama tabi klasik bir lafı unutmamak gerek. motive olmuş bir hacker'ı hiçbirşey durduramaz .)

oCRaCy · 19.08.2007

ilk yolu kafamda birşeylerin şekillendirmesini sağladı.. Sanırım ilk yol motive olmuş hackerlara da pek bir seçenek bırakmıyor =) en yakın zamanda pratiğe döküp sonuçları bildiririm..

teşk kuduk,perplex

mow · 20.08.2007

ilk olarak, flash da herhangi bir browser gibi "session id" değerini taşır ama bu puanda değil kullanıcı kontrolünde işine yarar.

puan içinse, puanı flastan hesaplatıp başka bir yere kayıt için gönderirsen ne yaparsan yap çözülmesi 10 dakikayı almaz. tek korunma yolun puanın sunucu taraflı bir yerde hesaplanması.

18.08.2007	#1 (permalink)
oCRaCy Üyelik Tarihi: 17.08.2007 Yer: ist Mesaj: 17	Güvenli skor gönderme Flashda yaptığım bir oyunu internetten oynabilir hale getirip üyelikli bir sisteme dahil edip skor board yapmak istiyorum.. ama illegal yoldan veri gönderilmesini engellemek adına bir yol veya bir mantık aklıma gelmedi.. Mesela flash oyunumdan skoru index.PHP ye şu şekilde yollasam PHP Code: `var gond=new LoadVars(); var cevap=new LoadVars(); gond.skor=skor; gond.isim=kim; cevap.onLoad=function(ok){ if(ok) { trace("oldu bu iş"); } } gond.sendAndLoad('goto.PHP',cevap,"POST");` goto.PHP ----------------------- PHP Code: `skoru_databaseyolla($_POST[....});` bu haliyle sistem güzel fakat herhangi biri SWF yi fla ya çevirip kodları görüp hangi PHP ye gönderildiğini anlayınca el ile POST verileriri yollayabilir. Bunun öünü geçebilmek adına ne tür bi mantık düşünebilir ? SWF encrypt dışında tabi

18.08.2007	#3 (permalink)
oCRaCy Üyelik Tarihi: 17.08.2007 Yer: ist Mesaj: 17	Re: Güvenli skor gönderme Adımlar gayet mantıklı da flash la session oluşturma işlemi yapılmıyor. Sessionu PHP ile oluşturup skoru yollarsam sanırım yine aynı şekilde skor okunurken flashdan gelip gelmediği anlaşılmaz sanırım.

19.08.2007	#4 (permalink)
perplex Üyelik Tarihi: 03.01.2007 Yer: istanbul Yaş: 28 Mesaj: 184	Re: Güvenli skor gönderme 3 yolu var: 1) arkadaşın bahsettiği gibi session yada başka belirleyici bir datayı md5 vs gibi bir fonksiyonla cryptolıyarak flash'a yükleme ordan da datanın işleniceği server side sayfaya yollayıp kontrol ettirme. yani SWF nin olduğu sayfada object/embed koduna : oyun.SWF?user=<?=md5($_SESSION["userid"]?> vs gibi. sonra flash da da _root.user ı tekrar loadvars instance ına katıp PHP sayfasına yollayabilirsin. ordan da check edersin. 2) flash media server kullanma : En etkili yol. media server da bir application oluşturursun. bununla flash dan herhangi bir data yollayıp belirli crypto işlemlerini gerçekleştirir, sonra bunu server da bir dizine dosyaya yazarsın. daha sonra da PHP ile dosyayı okuyup içindeki datayı kıyaslarsın. hem PHP hem media server applicationı (.asc dosyası) server side olduğu için kimse ne döndüğünü anlamaz. Ama tabi flash media server maliyetli. 3) ming ya da libswf vs gibi PHP libraryleri kullanmak ki bu aslında pek bir seçenek sayılmaz. Sonuçta ming kodların çoğunu desteklemiyor. çözümler bunlar ama tabi klasik bir lafı unutmamak gerek. motive olmuş bir hacker'ı hiçbirşey durduramaz .)

19.08.2007	#5 (permalink)
oCRaCy Üyelik Tarihi: 17.08.2007 Yer: ist Mesaj: 17	Re: Güvenli skor gönderme ilk yolu kafamda birşeylerin şekillendirmesini sağladı.. Sanırım ilk yol motive olmuş hackerlara da pek bir seçenek bırakmıyor =) en yakın zamanda pratiğe döküp sonuçları bildiririm.. teşk kuduk,perplex __________________ To follow the path, Look to the master Follow the master, Walk with the master, See through the master, Become the master

20.08.2007	#6 (permalink)
mow Üyelik Tarihi: 28.03.2003 Yer: İzmir Yaş: 26 Mesaj: 780	Re: Güvenli skor gönderme ilk olarak, flash da herhangi bir browser gibi "session id" değerini taşır ama bu puanda değil kullanıcı kontrolünde işine yarar. puan içinse, puanı flastan hesaplatıp başka bir yere kayıt için gönderirsen ne yaparsan yap çözülmesi 10 dakikayı almaz. tek korunma yolun puanın sunucu taraflı bir yerde hesaplanması. __________________ #siberarena.com \| tournament.online

Sponsorlu Bağlantılar
Zoque.Forum Reklam