Шифрование данных

Godwarlock · 07.01.2016, 18:46

Подскажите шифровчики значения переменных типа int,String для as3. Что-то вроде md5 и где скачать)

caseyryan · 07.01.2016, 20:03

Зачем тебе int шифровать? и чем, собственно md5 не устраивает?
А вообще их полно, гугл тебе сразу найдет целую кучу (если хоть иногда им пользоваться

) https://github.com/timkurvers/as3-crypto к примеру. Есть еще очень популярная либа от hurlant. Часто сам ей пользовался. Очень неплохая вещь.
Но если ты хочешь скрыть их в памяти от штук типа артмани, то тут не шифрование нужно. Это совсем другой подход

Godwarlock · 07.01.2016, 20:17

Спасибо. Ладно. Наверно фиг бы с этим шифрованием, запросы идут от клиента серверу в открытом виде, значит сервер должен обработать запрос таким образом, чтобы идентификатор приходящий с клиента не мог быть подменен, а если и будет подменен, то надо кучу обработок на проверку делать.

caseyryan · 07.01.2016, 21:27

По опыту тебе могу сказать, что шифрование тут не поможет. У нас были случаи когда подписи запросов подделывали и присылали вообще левые данные, это несмотря на то, что в подписи участвовал параметр, который брался из вшитой swf, в которой он тоже был спрятан. Здесь вся обработка запросов должна производиться на сервере, так, чтобы даже в случае подделки запроса ничего серьезного не происходило. А в подписи должен участвовать какой-то параметр, который хакер не может нигде взять. Посмотри как в ВК или Одноклассниках реализована подпись запроса. Это достаточно надежно

Godwarlock · 07.01.2016, 22:19

Код AS3:

URLServer.LoadVariable("/API/item/playerLootItem",arr,host_name);

Как оказалось, заменить можно и host_name+/API/item/playerLootItem сам запрос. То есть вместо него, можно вставить любой другой. Есть какая-нибудь документация на этот счет? Ведь например можно заменить host_name+/API/item/playerLootItem на host_name+/API/quest/addQuest и тогда что угодно можно творить. Как бы защитить сам запрос?

caseyryan · 07.01.2016, 22:38

Цитата:

Есть какая-нибудь документация на этот счет?

Документация к чему? Ты тут привел какую-то конструкцию, которая явно не относится к стандарному API AS3.
Если это твой сервер, то зачем тебе защищать запрос? Просто сделай так, чтобы, допустим addQuest мог делать только юзер с правами администратора.
И естественно тебе придется авторизовать пользователей, чтобы знать, кто прислал тот или иной запрос

Godwarlock · 07.01.2016, 23:11

Цитата:

И естественно тебе придется авторизовать пользователей, чтобы знать, кто прислал тот или иной запрос

А как отследить, какой пользователь отправил запрос? Думаю если в бд каждый раз записывать все действия пользователя, это будет не очень хорошо

caseyryan · 08.01.2016, 10:19

Их и не надо записывать в базу. Зачем? Ты просто берешь ID пользователя и хэш пароля, потом делаешь выборку из базы для этого пользователя и записываешь их в сессию. Все дальнейшие запросы от этого пользователя будут обрабатываться уже с использованием сессии

Или лучше посмотри в сторону OAuth 2 авторизации.