Форум Flasher.ru

Форум Flasher.ru (http://www.flasher.ru/forum/index.php)
-   API приложений и сред (http://www.flasher.ru/forum/forumdisplay.php?f=61)
-   -   Как скрыть данные в приложении для вконтакте? (http://www.flasher.ru/forum/showthread.php?t=142629)

zemozes 26.07.2010 22:32
Как скрыть данные в приложении для вконтакте?
 
Как скрыть данные в приложении для вконтакте?
Приложение обращается к api одного сайта (не ВК API).
Нужно указывать ключ, я его указываю прямо во флешке (т. е. ключ вшит во флешку).
Любым декомпилятором можно узнать ключ.
Как скрыть ключ?

Добавлено через 1 минуту
Можно конечно шифровать ключ в base64. Это спасёт от непродвинутых людей.
Но есть такие, кто знает, что такое base64, таких много.
Приложение не коммерческое, just for fun.

Zebestov 26.07.2010 22:57
Цитата:
Сообщение от zemozes (Сообщение 925138)
Как скрыть ключ?
Никак. Можно лишь в какой-то (конечной) мере усложнить задачу.

P.S.
Тема поднималась неоднократно.

KirAmp 26.07.2010 23:04
zemozes
Используйте несколько шифровок, ключ держите не в самой флешке.... Устройте срач в функциЯХ получения этого ключа

zemozes 26.07.2010 23:15
Цитата:
Сообщение от KirAmp (Сообщение 925145)
zemozes
Используйте несколько шифровок, ключ держите не в самой флешке.... Устройте срач в функциЯХ получения этого ключа
>>>Используйте несколько шифровок
base64(base64(base64(base64))) смысл?

>>>ключ держите не в самой флешке
Допустим флешка отправляет запрос на мой сайт к php-скрипту,
он возвращает ключ. Но ведь это легко отследить с помощью
сетевого сниффера.

В журнале хакер читал когда-то про метод "соль".
Может знает кто? Пользовался?

mikhailk 26.07.2010 23:28
Думаю, хорошо бы сначала определиться, какая задача решается.

Если решается задача сквозной авторизации, т.е., мы считаем, что авторизованный пользователь ВК имеет право на доступ к сервисам сайта, то тут велосипед изобретать не надо. ВК отдает ауф_кей, по которому пользователь может быть идентифицирован на сайте.

Если решается другая задача, то надо сформулировать, какая именно.

zemozes 26.07.2010 23:37
Цитата:
Сообщение от mikhailk (Сообщение 925150)
Думаю, хорошо бы сначала определиться, какая задача решается.

Если решается задача сквозной авторизации, т.е., мы считаем, что авторизованный пользователь ВК имеет право на доступ к сервисам сайта, то тут велосипед изобретать не надо. ВК отдает ауф_кей, по которому пользователь может быть идентифицирован на сайте.

Если решается другая задача, то надо сформулировать, какая именно.
Есть сайт X, у него есть x-api. Чтобы использовать этот апи, нужно получить ключ.
Я из флешки обращаюсь к этому x-api, передавая ключ.
Ключ передаётся нешифрованным.

Можно же декомпилить флешку или посмотреть ключ с помощью сетевого сниффера.

Задача: помешать нехорошему человеку узнать ключ.

KirAmp 26.07.2010 23:57
zemozes
Напишите свою шифровку

GBee 26.07.2010 23:58
Друг один рассказал следующее (на кривописи и ошибки не обращайте внимания):

1)берем ключ, енкодим его в Base64 или во что угодно обратно-раскодируемое
пишем полученные байты в файлег
файлег ембедишь в проект
в приложении берешь байты файлега и декодишь
ни один декомпайлер не видит содержимое заембеденного файла

Код AS3:
[Embed(source='/assets/file.file', mimeType='application/octet-stream')]

private var f:Class;

var key:String = Base64.decode(ByteArray(new f()).toString());
PS

ну, те.. понятно, что если я захочу сломать - то я по адресации выкушу этот массив байтов из swf и до всего доберусь

но просто сам способ отсекает примерно 80% кулхацкеров :)

я у чувака какого-то нарыл, не помню где

не сам придумал, нет

zemozes 27.07.2010 00:04
Цитата:
Сообщение от KirAmp (Сообщение 925155)
zemozes
Напишите свою шифровку
В клиентской части её бессмысленно писать.

Добавлено через 1 минуту
Цитата:
Сообщение от GBee (Сообщение 925157)
Друг один рассказал следующее (на кривописи и ошибки не обращайте внимания):
Спасибо. Сохранил. Теперь можно удалить сообщение да бы не палить тему.

mikhailk 27.07.2010 11:29
Цитата:
Сообщение от zemozes (Сообщение 925152)
Есть сайт X, у него есть x-api. Чтобы использовать этот апи, нужно получить ключ.
Я из флешки обращаюсь к этому x-api, передавая ключ.
Ключ передаётся нешифрованным.
Все равно остается ощущение, что Вы решаете не совсем ту задачу.

Сайт, кстати, совсем чужой?
Если нет, то что мешает сделать в нем дополнительный вход, где пользователь бы идентифицировался не по ключу, а по ауф-кею от ВК?

И, кстати, что дает злоумышленнику подключение к сайту, если он узнал этот заветный ключ? Если что-то существенное, то 80% куллхацкеров отсекать бессмысленно, поскольку ключ будет опубликован через 5 секунд после получения ключа кем-то из оставшихся 20%. А если несущественное, то вообще непонятно, о чем разговор.


Часовой пояс GMT +4, время: 13:18.

Copyright © 1999-2008 Flasher.ru. All rights reserved.
Работает на vBulletin®. Copyright ©2000 - 2026, Jelsoft Enterprises Ltd. Перевод: zCarot
Администрация сайта не несёт ответственности за любую предоставленную посетителями информацию. Подробнее см. Правила.