haha botei HTTPS ssl delicia demais, codigo tudo zuado, nao tem como o cara pegar agora correto ? :)
flex mais uma vez seguro :) 2012/1/12 Wemerson Couto Guimarães <[email protected]> > realmente... nem tudo se descompila... mas muita coisa consegue-se... e aí > se tem uma chave de criptografia ali, uma senha escondidinha acolá... acaba > que alguem consegue pegar... então o certo é não deixar nada que comprometa > a segurança dentro do swf... > > Fiz uns testes aqui no meu servidor ssl com uma página em php retornando > um xml conforme uma solixitação em HTTPService... ou seja, totalmente > inseguro... tanto o Request, quanto a requisição foram satisfatórias... > > HTTPService1.url = "https://localhost/testehttps.php";; > HTTPService1.send( { "a": 1, "b": 2 } ); > > No lado PHP: > > <?php > > echo '<?xml version="1.0" encoding="utf-8"?>'; > echo "<xml>"; > foreach($_POST as $key => $value){ > echo "<$key>$value</$key>"; > } > echo "</xml>"; > > o retorno é o xml no flex, porém irreconhecível no charles.: > > <?xml version="1.0" encoding="utf-8"?> > <xml> > <a>1</a> > <b>2</b> > </xml> > > Aqui está o resultado no charles: > > request: > ----------- > CONNECT localhost:443 HTTP/1.1 > User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:9.0.1) Gecko/20100101 > Firefox/9.0.1 > Proxy-Connection: keep-alive > Host: localhost > > {texto zuado... o gmail nem reconheceu... rs.} > > > response: > ------------- > {texto também zuado na resposta...} > > > > Fica agora só a pergunta... esse resultado é satisfatório na questão de > segurança ou ainda é fácil de ser quebrado? > > > > > > > Em 12 de janeiro de 2012 11:08, Helio Antonio Francisco Silva < > [email protected]> escreveu: > > cara nao e bem assim tambem, ja usei decompiler por muito tempo e voce nao >> consegue 100% do resultado de volta. mesmo por que muitas informações se >> perdem quando gera o SWF, para so ficar o que precisa pra rodar e assim >> ficar mais leve e assim vai. >> Ver o que e trafegado nao vejo tanto problema uma vez que no HTML tambem >> fica, ai eu teria de encriptografar as informações; mas se o HTTPS ja >> zua-se os dados no proxy ia ser uma mao na roda. me pouparia trampo. >> >> >> 2012/1/12 Wemerson Couto Guimarães <[email protected]> >> >>> É amigo... swf é totalmente inseguro... primeiro porque consegue-se >>> descompilar o bicho em algum nivel... segundo que com programas como esse >>> maluco do Charles consegue-se ver tudo que vem nas requisições... >>> >>> Inclusive pega até requisições com method POST... >>> >>> Acredito que só mesmo trafegando informações criptografadas... >>> >>> Fiz um teste aqui num servidor HTTPS aleatório e as informações >>> trafegadas estavam em formato desconhecido, provavelmente criptografado... >>> então acredito que é esse o caminho... >>> >>> Em 12 de janeiro de 2012 10:17, Helio Antonio Francisco Silva < >>> [email protected]> escreveu: >>> >>>> Recentemente um companheiro aqui do forum, me mostrou esse programa que >>>> por Sinal muito bom. >>>> Agora percebi que ele mostra o result list que eu mando de volta no >>>> flex, tem como eu bloquear isso desses programas pegarem ? >>>> Fui em varios sites e acabei vendo o mesmo problema. como s ebloqueia >>>> isso, HTTPS ? tem alguma forma ? >>>> >>>> abraços. >>>> >>>> >>>> -- >>>> *Hélio Antonio Francisco Silva* >>>> Desenvolvedor web >>>> Certificado Flash developer >>>> Certificado Flash Design >>>> Certificado web developer >>>> Consultor Microsiga / Totvs >>>> Desenvolvedor ADVPL / ASP >>>> Analista de sistemas e ERP Sênior. >>>> >>>> -- >>>> Você recebeu esta mensagem porque está inscrito na lista "flexdev" >>>> Para enviar uma mensagem, envie um e-mail para [email protected] >>>> Para sair da lista, envie um email em branco para >>>> [email protected] >>>> Mais opções estão disponíveis em http://groups.google.com/group/flexdev >>> >>> >>> >>> >>> -- >>> Wemerson Guimarães >>> Rio Verde - Go - Brasil >>> >>> -- >>> Você recebeu esta mensagem porque está inscrito na lista "flexdev" >>> Para enviar uma mensagem, envie um e-mail para [email protected] >>> Para sair da lista, envie um email em branco para >>> [email protected] >>> Mais opções estão disponíveis em http://groups.google.com/group/flexdev >> >> >> >> >> -- >> *Hélio Antonio Francisco Silva* >> Desenvolvedor web >> Certificado Flash developer >> Certificado Flash Design >> Certificado web developer >> Consultor Microsiga / Totvs >> Desenvolvedor ADVPL / ASP >> Analista de sistemas e ERP Sênior. >> >> -- >> Você recebeu esta mensagem porque está inscrito na lista "flexdev" >> Para enviar uma mensagem, envie um e-mail para [email protected] >> Para sair da lista, envie um email em branco para >> [email protected] >> Mais opções estão disponíveis em http://groups.google.com/group/flexdev >> > > > > -- > Wemerson Guimarães > Rio Verde - Go - Brasil > > -- > Você recebeu esta mensagem porque está inscrito na lista "flexdev" > Para enviar uma mensagem, envie um e-mail para [email protected] > Para sair da lista, envie um email em branco para > [email protected] > Mais opções estão disponíveis em http://groups.google.com/group/flexdev > -- *Hélio Antonio Francisco Silva* Desenvolvedor web Certificado Flash developer Certificado Flash Design Certificado web developer Consultor Microsiga / Totvs Desenvolvedor ADVPL / ASP Analista de sistemas e ERP Sênior. -- Você recebeu esta mensagem porque está inscrito na lista "flexdev" Para enviar uma mensagem, envie um e-mail para [email protected] Para sair da lista, envie um email em branco para [email protected] Mais opções estão disponíveis em http://groups.google.com/group/flexdev
