Salut, euh avec redtamarin c'est TRES simple pour recuperer ce bytearray sans > meme utiliser un SWF > > ce n'est parce que ton PHP ou AMFPHP envoit le SWF en binaire, > sans que le SWF soit un fichier physique accessible par une URL > qu'il est impossible a recupérer >
Confirme mon point 2. Et cela couplé diminue nettement le nombre de personne capable de hacker le system. Apres je ne suis pas rentré dans les détails. Mais si tu imbrique tes bytearray (avec des png pour choper la clef dans un hexa) , que d'un autre coté tu en fasse une 100ene coté serveur(5ko le swf..) et que tu switch chaque jour avec une clef de reconnaissance coté serveur en base : le hacker va etre perdu, car hacker chaque barriere peu prendre 1jours, donc tourner en rond car le swf envoyer par serveur en bytearray est différent (géré par la date serveur).... Apres il est evident que des system lourd comme SSL (cher a l'anné), system de certificat privée, activeX ...... ca rend bcp plus dure le hack (des fosi meme presque impossible)... mais jamais impossible (MD5 est deja en parti mort). Et ne parlons pas de la complication pour l'utilisateur ou pour les dev ou meme pour le coté economique. Pour SSL, on utilise ici, certain hébergeur s'occupe de tout,ça prend 1 ou 2 jours de plus mais c plus simple à faire. Cela dit, ton post précédent est tres bon. et je pense que chaque situation et besoin fait apelle a plusieur de ces solution (moi je me posai le probleme coté client car moins lourd a mettre en place). PS : toute derniere piste, avoir la logique du jeu coté serveur, comme ca tu peu voir si son score final est en accord avec ces différente etape de jeu. Skat Le 1 octobre 2010 12:47, zwetan <[email protected]> a écrit : > > > > > La solution est celle du loader qui charge le swf en bytearray. > > Tu me dit que tu as déjà fait le test avec un embed. Effectivement le > > 'hacker' peu trouver l'information car le SWF embed est dans ton SWF. > donc > > si je récupère le SWF , je décompile et je prend la partie data de ton > embed > > et reconstruit un SWF avec. > > > > Par compte ma méthode pose un gros probleme au hacker. En effet, tu recoi > > (par amfphp ou php simple) le bytearray du swf stocker coté serveur (mais > > non récupérable car caché). Effectivement le hacker pourra toujours taper > > sur l'url pour récupéré le flux mais ca complique un peu plus ca > démarche. > > euh avec redtamarin c'est TRES simple pour recuperer ce bytearray sans > meme utiliser un SWF > > ce n'est parce que ton PHP ou AMFPHP envoit le SWF en binaire, > sans que le SWF soit un fichier physique accessible par une URL > qu'il est impossible a recupérer > > > > > De toute facon, désolé d'avoir une nouvelle négative, mais il n'y a > aucune > > solution complettement bloquante avec flash. L'astuce reste de mettre > > plusieur palier (url du php crypter, qui ensuite charge un flash en > > bytearray, qui lui pourrai etre crypter avec une clef hexa d'un png > charger > > a la volé...... ainsi de suite) > > En terme de sécurité, seule la méthode du découragement marche. > > euh oui et non > > mettre plusieurs niveaux de protections ca oui pas de soucis > mais certains niveaux sont plus efficaces que d'autres > > par ex: obfu d'un SWF c'est completement inutile > > un echange basé sur PKI c'est mathematiquement prouvé > que ce n'est pas crackable > > apres si les prime utilisés sont trop petit là oui ca cause probleme > > zwetan > > -- > Vous recevez ce message, car vous êtes abonné au groupe Google > Groupes FCNG. > Pour envoyer un message à ce groupe, adressez un e-mail à > [email protected]. > Pour vous désabonner de ce groupe, envoyez un e-mail à l'adresse > [email protected] <fcng%[email protected]>. > Pour plus d'options, consultez la page de ce groupe : > http://groups.google.com/group/fcng?hl=fr > > -- Vous recevez ce message, car vous êtes abonné au groupe Google Groupes FCNG. Pour envoyer un message à ce groupe, adressez un e-mail à [email protected]. Pour vous désabonner de ce groupe, envoyez un e-mail à l'adresse [email protected]. Pour plus d'options, consultez la page de ce groupe : http://groups.google.com/group/fcng?hl=fr
