NairuS a écrit : > Re, > > > 4 - Si tu veux que tout soit vraiment sécurisé faut > encrypter les échanges de données avec XTEA, TEA, SHA1 > etc.. et donc avoir côté client et côté serveur une clé. > Côté client la clé peu être envoyée de différente manière > (image bitmap avec clé dedans, etc...) > > hello :) > > > Le principe de l'encryptage, c'est qu'on peut le décrypter si on a le > bon algo, hein ? > En décompilant le flash on peut trouver la clé secrète, non ? > > Mettre un captcha dans le flash est-elle une solution ? Non justement aucune de ses deux options n'est une solution infaillible, dans le premier cas un hacker un peu tenace trouvera toujours le moyen de décrypter tes coms et de reproduire le cryptage dans son bot. La deuxième vient dégrader l'expérience des utilisateurs honnêtes. > > > > > > Bref :) Faire du jeux (même si le jeux est un simple > formulaire) ... sur le net cela nécessite un vrai > GameEngine avec tout ce qu'il faut au niveau sécurité > etc... même pour des tous petits jeux les internautes sont > super malins et faut leur compliquer la tache dès le départ :) > > > Finalement la solution la plus sûr n'est-elle pas d'utiliser le > remoting côté SSAS avec un FMS ou autre Red5, haXe... ? Non, à mon avis la solution la plus sûr sera toujours de ne pas se reposer sur la technologie pour la sécurité mais sur un travail d'analyse des risques en amont. C'est-à-dire en pensant à tout les cas de figure qui te permettront de détecter les fraudes éventuelles et à éviter qu'elles impact l'équilibre de la compétition (sans compétition entre les joueurs le besoin de sécurité est moins important). Dans mon ancienne boite on a testé à peu près toutes les solutions pour sécurisé nos flash (cryptage, obfuscation, etc...) et ça n'a jamais empêché nos pirates de se créer des bots qui se passait du client flash. On se retrouvait à avoir un taf de maintenance pas possible (changement de clé, modification des algos, de la structure des coms, etc...) tout ça pour palier à tout les types d'attaques qu'on subissait. Sachant que chaque nouvelle sécurité provoquait de nouveaux types d'attaques, etc... alors qu'une approche plus paisible visant à ne pas empêcher la fraude mais à simplement la détecter et en fournissant les moyens de réagir à posteriori pour rééquilibrer aurait été plus judicieux et surtout moins chrono-phage (il y a forcement un temps de review des parties mise en quarantaine, mais c'est de loin plus gérable que de devoir intervenir sans cesse sur le code du client et du serveur pour modifier les sécurités). De plus il faut pas non plus pousser trop loin cette détection, car si vraiment tu es face à des pirates motivés (c'était notre cas car les jeux avait à la clé des biens physiques) tu peux te retrouver avec des bots qui sont tellement évolués que tu ne pourra plus détecter les fraudes, il faut donc aussi prendre garde à ne pas trop les obligés à surenchérir, leur faire croire qu'ils peuvent frauder et intervenir à posteriori pour rétablir l'équilibre. À moins de te développer une solution de sécurité super innovante juste pour toi, les pirates auront toujours accès au même technos que toi, et si ils sont un peu compétents il iront aussi vite à péter tes sécurités que toi à les mettre en oeuvre. Le dernier point important aussi, c'est de bien prendre garde à ne pas faire la même erreur que l'industrie audio visuelle avec les DRM, c'est-à-dire qu'il ne faut pas que les moyens de sécurisation que tu emploi se retourne contre les utilisateurs honnêtes. Par exemple devoir passer par un captcha à chaque partie c'est juste super lourd, et ça brise complètement le phénomène d'addiction que tu es censé vouloir provoquer (enfin du moins c'est un objectif pour la plupart des jeux : insiter le joueur à rejouer).
My 2 cents Cédric --~--~---------~--~----~------------~-------~--~----~ Vous avez reçu ce message, car vous êtes abonné au groupe Groupe "FCNG" de Google Groupes. Pour transmettre des messages à ce groupe, envoyez un e-mail à l'adresse [email protected] Pour résilier votre abonnement à ce groupe, envoyez un e-mail à l'adresse [email protected] Pour afficher d'autres options, visitez ce groupe à l'adresse http://groups.google.com/group/FCNG?hl=fr -~----------~----~----~----~------~----~------~--~---
