re, Le 30 juillet 2009 14:00, Cédric Néhémie <[email protected]> a écrit :
> > NairuS a écrit : > > Re, > > > > > > 4 - Si tu veux que tout soit vraiment sécurisé faut > > encrypter les échanges de données avec XTEA, TEA, SHA1 > > etc.. et donc avoir côté client et côté serveur une clé. > > Côté client la clé peu être envoyée de différente manière > > (image bitmap avec clé dedans, etc...) > > > > hello :) > > > > > > Le principe de l'encryptage, c'est qu'on peut le décrypter si on a le > > bon algo, hein ? > > En décompilant le flash on peut trouver la clé secrète, non ? > > > > Mettre un captcha dans le flash est-elle une solution ? > Non justement aucune de ses deux options n'est une solution infaillible, > dans le premier cas un hacker un peu tenace trouvera toujours le moyen > de décrypter tes coms et de reproduire le cryptage dans son bot. La > deuxième vient dégrader l'expérience des utilisateurs honnêtes. > C'est mon avis aussi. > > > > > > > > > > > > Bref :) Faire du jeux (même si le jeux est un simple > > formulaire) ... sur le net cela nécessite un vrai > > GameEngine avec tout ce qu'il faut au niveau sécurité > > etc... même pour des tous petits jeux les internautes sont > > super malins et faut leur compliquer la tache dès le départ > :) > > > > > > Finalement la solution la plus sûr n'est-elle pas d'utiliser le > > remoting côté SSAS avec un FMS ou autre Red5, haXe... ? > Non, à mon avis la solution la plus sûr sera toujours de ne pas se > reposer sur la technologie pour la sécurité mais sur un travail > d'analyse des risques en amont. C'est-à-dire en pensant à tout les cas > de figure qui te permettront de détecter les fraudes éventuelles et à > éviter qu'elles impact l'équilibre de la compétition (sans compétition > entre les joueurs le besoin de sécurité est moins important). > Dans mon ancienne boite on a testé à peu près toutes les solutions pour > sécurisé nos flash (cryptage, obfuscation, etc...) et ça n'a jamais > empêché nos pirates de se créer des bots qui se passait du client flash. > On se retrouvait à avoir un taf de maintenance pas possible (changement > de clé, modification des algos, de la structure des coms, etc...) tout > ça pour palier à tout les types d'attaques qu'on subissait. Sachant que > chaque nouvelle sécurité provoquait de nouveaux types d'attaques, etc... > alors qu'une approche plus paisible visant à ne pas empêcher la fraude > mais à simplement la détecter et en fournissant les moyens de réagir à > posteriori pour rééquilibrer aurait été plus judicieux et surtout moins > chrono-phage (il y a forcement un temps de review des parties mise en > quarantaine, mais c'est de loin plus gérable que de devoir intervenir > sans cesse sur le code du client et du serveur pour modifier les > sécurités). > De plus il faut pas non plus pousser trop loin cette détection, car si > vraiment tu es face à des pirates motivés (c'était notre cas car les > jeux avait à la clé des biens physiques) tu peux te retrouver avec des > bots qui sont tellement évolués que tu ne pourra plus détecter les > fraudes, il faut donc aussi prendre garde à ne pas trop les obligés à > surenchérir, leur faire croire qu'ils peuvent frauder et intervenir à > posteriori pour rétablir l'équilibre. > À moins de te développer une solution de sécurité super innovante juste > pour toi, les pirates auront toujours accès au même technos que toi, et > si ils sont un peu compétents il iront aussi vite à péter tes sécurités > que toi à les mettre en oeuvre. > Le dernier point important aussi, c'est de bien prendre garde à ne pas > faire la même erreur que l'industrie audio visuelle avec les DRM, > c'est-à-dire qu'il ne faut pas que les moyens de sécurisation que tu > emploi se retourne contre les utilisateurs honnêtes. Par exemple devoir > passer par un captcha à chaque partie c'est juste super lourd, et ça > brise complètement le phénomène d'addiction que tu es censé vouloir > provoquer (enfin du moins c'est un objectif pour la plupart des jeux : > insiter le joueur à rejouer). > > My 2 cents En parlant de sécurité : http://www.zdnet.fr/actualites/internet/0,39020774,39703396,00.htm?xtor=RSS-1 vive IE6 pour ça ^_^ :p > > > Cédric > > > > --~--~---------~--~----~------------~-------~--~----~ Vous avez reçu ce message, car vous êtes abonné au groupe Groupe "FCNG" de Google Groupes. Pour transmettre des messages à ce groupe, envoyez un e-mail à l'adresse [email protected] Pour résilier votre abonnement à ce groupe, envoyez un e-mail à l'adresse [email protected] Pour afficher d'autres options, visitez ce groupe à l'adresse http://groups.google.com/group/FCNG?hl=fr -~----------~----~----~----~------~----~------~--~---
