Безопасность. Как обезопасить приложение.
 

Доброго времени суток!

Поиском пользовался, ничего более-менее 100%го не находил.
Столкнулся с созданием приложения ВКонтакте.
Более-менее всё понятно, особых вопросов нету, кроме... безопасности.

Если:
1. Проверять auth_key.
2. Обфусцировать приложение.
3. Слать "левые"/шифрованные, хотябы md5 запросы.
4. Запутывать эти самые запросы.

Всё это конечно хорошо, но это избавит от школьников, не более того. Эти запросы легко дублировать. Кстати, что делать против дублирования?

Какие еще способы обезопасить приложение есть?

Спасибо!

Недавно давали код как принимать запросы на сервере только по определенным IP.

От дублирования в каком смысле?

К примеру, посылаем запрос на php скрипт. Который в свою очередь проверяет auth_key и еще несколько зашифрованных параметров. И, к примеру, php скрипт отвечает за добавления очков в БД. Но, ведь можно все эти запросы послать по несколько раз. И прибавиться N'ое количество очков.

На сколько мне известно, контакт не разрешает собирать у юзеров такие данные, как IP, могу конечно ошибаться.
Но в любом случае, от дублирования не спастись таким способом, но всё же.

Это значит, что у вас криво написан сервер, который не запрещает повторную отправку. Правьте сервер.

Тоже заинтересовал этот вопрос.
Ну а если сделать, чтобы запрещал, то как само приложение сможет отправить еще один, реальный, запрос?
Как такое лучше реализовать?

Подскажите, как?
Ведь можно этот же запрос повторить, к примеру, через 10 минут, или через 1 час.

Заводите сессию, убивайте после получения очков, хотя бы.

Ну сессия в PHP. А тут снова такой же запрос, и в этом запросе всё как и от самого приложения. И снова в php создастся сессия, добавяться очки и сессия завершится. Тоже по-моему дублировать без проблем можно.

aaanet, id-сессии использовать в качестве ключа для запроса нужно. Хотя бы.