[Flash/SSL] beveiliging.

Bosmonster schreef op 01 december 2003 @ 16:05: (niet eens reversed code, maar gewoon de letterlijke code, inclusief comments etc)..

inclusief comments? dat lijkt me heel erg sterk, aangezien comments niet worden meegecompiled. Verder is het geruststellend om te weten dat je het nooit 100% secure kan krijgen, dus je zal altijd een tradeoff krijgen, met andere woorden, Hoe secure moet het zijn, en wat is je budget?

Voorbeeldje, 1tegen100 is een spelsite, gemaakt in Flash waar mensen daadwerkelijk prijzen kunnen winnen, en elke maand spelen duizenden mensen hier ( en winnen dus ook ). Zoals je ziet draait deze wel degelijk over een beveiligde verbinding, en dat heeft zo zijn redenen, simpelste is dat je gegevens over een 'trusted' lijn gaan. Idem met de Wallie site ( zie sig ) Er zijn tientallen manieren om een 98% secure flash site te ontwikkelen, varierend van PPK frameworks, sessiebased of zelfs iets rudimentairs als obfuscating code.

De volgende stappen zullen je al een eind op weg helpen:

1) Gebruik SSL
2) Gebruik clientside hashing methode ( SHA1, MD5 etc )
3) Request token op de client en server
4) Bij ieder request vanaf de client, authenticate dmv hashed ID + token ( maak dit, zoals Ralph al aangeef, tijdgebaseerd, een authenticatie-request moet niet langer dan een paar seconden duren )
5) Obfuscate je code ( andere tip: LoadMovie is niet echt geinteresseerd in wat voor files je laad...een SWF met de extensie .doc wordt vrolijk binnen gehaald )

en zo kan ik nog wel even doorgaan. Nogmaals, zijn veel verschillende manieren mogelijk, en 100% veilig wordt het nooit. Verder zou je nog kunnen denken om extra flashwerk op de server te laten doen, FlashComm ondersteunt ip-restricted access voor RTMP ( binary protocol ) en kan serverside actionscript uitvoeren.

HTH