realmente... nem tudo se descompila... mas muita coisa consegue-se... e aí se tem uma chave de criptografia ali, uma senha escondidinha acolá... acaba que alguem consegue pegar... então o certo é não deixar nada que comprometa a segurança dentro do swf...
Fiz uns testes aqui no meu servidor ssl com uma página em php retornando um xml conforme uma solixitação em HTTPService... ou seja, totalmente inseguro... tanto o Request, quanto a requisição foram satisfatórias... HTTPService1.url = "https://localhost/testehttps.php";; HTTPService1.send( { "a": 1, "b": 2 } ); No lado PHP: <?php echo '<?xml version="1.0" encoding="utf-8"?>'; echo "<xml>"; foreach($_POST as $key => $value){ echo "<$key>$value</$key>"; } echo "</xml>"; o retorno é o xml no flex, porém irreconhecível no charles.: <?xml version="1.0" encoding="utf-8"?> <xml> <a>1</a> <b>2</b> </xml> Aqui está o resultado no charles: request: ----------- CONNECT localhost:443 HTTP/1.1 User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:9.0.1) Gecko/20100101 Firefox/9.0.1 Proxy-Connection: keep-alive Host: localhost {texto zuado... o gmail nem reconheceu... rs.} response: ------------- {texto também zuado na resposta...} Fica agora só a pergunta... esse resultado é satisfatório na questão de segurança ou ainda é fácil de ser quebrado? Em 12 de janeiro de 2012 11:08, Helio Antonio Francisco Silva < [email protected]> escreveu: > cara nao e bem assim tambem, ja usei decompiler por muito tempo e voce nao > consegue 100% do resultado de volta. mesmo por que muitas informações se > perdem quando gera o SWF, para so ficar o que precisa pra rodar e assim > ficar mais leve e assim vai. > Ver o que e trafegado nao vejo tanto problema uma vez que no HTML tambem > fica, ai eu teria de encriptografar as informações; mas se o HTTPS ja > zua-se os dados no proxy ia ser uma mao na roda. me pouparia trampo. > > > 2012/1/12 Wemerson Couto Guimarães <[email protected]> > >> É amigo... swf é totalmente inseguro... primeiro porque consegue-se >> descompilar o bicho em algum nivel... segundo que com programas como esse >> maluco do Charles consegue-se ver tudo que vem nas requisições... >> >> Inclusive pega até requisições com method POST... >> >> Acredito que só mesmo trafegando informações criptografadas... >> >> Fiz um teste aqui num servidor HTTPS aleatório e as informações >> trafegadas estavam em formato desconhecido, provavelmente criptografado... >> então acredito que é esse o caminho... >> >> Em 12 de janeiro de 2012 10:17, Helio Antonio Francisco Silva < >> [email protected]> escreveu: >> >>> Recentemente um companheiro aqui do forum, me mostrou esse programa que >>> por Sinal muito bom. >>> Agora percebi que ele mostra o result list que eu mando de volta no >>> flex, tem como eu bloquear isso desses programas pegarem ? >>> Fui em varios sites e acabei vendo o mesmo problema. como s ebloqueia >>> isso, HTTPS ? tem alguma forma ? >>> >>> abraços. >>> >>> >>> -- >>> *Hélio Antonio Francisco Silva* >>> Desenvolvedor web >>> Certificado Flash developer >>> Certificado Flash Design >>> Certificado web developer >>> Consultor Microsiga / Totvs >>> Desenvolvedor ADVPL / ASP >>> Analista de sistemas e ERP Sênior. >>> >>> -- >>> Você recebeu esta mensagem porque está inscrito na lista "flexdev" >>> Para enviar uma mensagem, envie um e-mail para [email protected] >>> Para sair da lista, envie um email em branco para >>> [email protected] >>> Mais opções estão disponíveis em http://groups.google.com/group/flexdev >> >> >> >> >> -- >> Wemerson Guimarães >> Rio Verde - Go - Brasil >> >> -- >> Você recebeu esta mensagem porque está inscrito na lista "flexdev" >> Para enviar uma mensagem, envie um e-mail para [email protected] >> Para sair da lista, envie um email em branco para >> [email protected] >> Mais opções estão disponíveis em http://groups.google.com/group/flexdev > > > > > -- > *Hélio Antonio Francisco Silva* > Desenvolvedor web > Certificado Flash developer > Certificado Flash Design > Certificado web developer > Consultor Microsiga / Totvs > Desenvolvedor ADVPL / ASP > Analista de sistemas e ERP Sênior. > > -- > Você recebeu esta mensagem porque está inscrito na lista "flexdev" > Para enviar uma mensagem, envie um e-mail para [email protected] > Para sair da lista, envie um email em branco para > [email protected] > Mais opções estão disponíveis em http://groups.google.com/group/flexdev > -- Wemerson Guimarães Rio Verde - Go - Brasil -- Você recebeu esta mensagem porque está inscrito na lista "flexdev" Para enviar uma mensagem, envie um e-mail para [email protected] Para sair da lista, envie um email em branco para [email protected] Mais opções estão disponíveis em http://groups.google.com/group/flexdev
