Форум Flasher.ru
Ближайшие курсы в Школе RealTime
Список интенсивных курсов: [см.]  
  
Специальные предложения: [см.]  
  
 
Блоги Правила Справка Пользователи Календарь Сообщения за день
 

Вернуться   Форум Flasher.ru > Flash > API приложений и сред

Версия для печати  Отправить по электронной почте    « Предыдущая тема | Следующая тема »  
Опции темы Опции просмотра
 
Создать новую тему Ответ
Старый 16.05.2010, 12:31
s3dworld вне форума Посмотреть профиль Отправить личное сообщение для s3dworld Найти все сообщения от s3dworld
  № 1  
Ответить с цитированием
s3dworld

Регистрация: Apr 2010
Сообщений: 170
Attention Проблемы безопасности ВКонтакте

Всем доброго утра!

Решил написать игру для ВКонтакте, которая будет использовать голоса. Для передачи голосов необходимо воспользоваться специальными методами ВКонтакте, вызывать которые должен сторонний сервер. Тут проблемы нет, но есть проблема в другом - как всё это организовать безопасно?

Сразу скажу: пишу сюда, а не ВКонтакт, потому что там у меня не получается создать тему в группе разработчиков. Пробовал с двух браузеров (Internet Explorer 8 и Mozilla Firefox 3.6.3), но при нажатии на кнопку Создать тему, тема не создаётся.

Собственно интересует следующее: вот скажем у меня приложение находится по адресу http://vkontakte.ru/app1860156. Когда кто-то из пользователь заходит по этому адресу, ему предлагается добавить приложение к себе на страничку. И когда он уже запускает приложение со своей странички, то адрес скажем такой http://vkontakte.ru/app1860156_63143359.
Собственно вопрос: приложение всегда хранится в одном и том же месте и другие пользователи используют только ссылки, или при добавлении к себе на страничку пользователь просто копирует к себе Flash'у и получается что сколько игроков, столько Flash'ек и столько разных мест для запуска?

И очень важная ситуация: кто-бы и откуда не запускал приложение, любую Flash'у можно декомпилировать и узнать по какому адресу она осуществляет запрос к PHP-скрипту, который переводит голоса на указанного пользователя. То есть получается, что можно декомпилировать приложение, создать новое использующее сторонний сервер (мой же), куда программа будет передавать данные кому нужно положить голоса. Меня эта ситуация не радует. Есть конечно выход, скажем файл безопасности (манифест) crossdomain.xml:

Код:
<?xml version="1.0"?>
<cross-domain-policy>
  <allow-access-from domain="*.vkontakte.ru"/>
</cross-domain-policy>
Но тут только сказано что любая Flash'ка сможет осуществлять запросы к моему серверу. Думал если бы Flash'ка всегда хранилась по определённому адресу (скажем: http://vkontakte.ru/app1860156), я бы просто написал:

Код:
<?xml version="1.0"?>
<cross-domain-policy>
  <allow-access-from domain="http://vkontakte.ru/app1860156"/>
</cross-domain-policy>
И пускай декомпилируют и прочее, но никто бы голоса уже не перевёл. Но вот на первый вопрос я ответа не знаю, поэтому рано делать выводы.

Подскажите, пожалуйста, какими способами можно обезопасить себя от стороннего вызова скриптом и вообще дайте советы по безопасности.

Заранее, огромное спасибо!

Старый 16.05.2010, 12:46
udaaff вне форума Посмотреть профиль Отправить личное сообщение для udaaff Найти все сообщения от udaaff
  № 2  
Ответить с цитированием
udaaff
...

модератор форума
Регистрация: Sep 2006
Адрес: Minsk
Сообщений: 4,286
auth_key проверяйте у себя на сервере, чтобы удостовериться в подлинности пользователя.
А куда какие запросы идут можно и без декомпиляции узнать.

При чем тут, вообще, файл безопасности, что-то не понял ничего.

Старый 16.05.2010, 15:04
s3dworld вне форума Посмотреть профиль Отправить личное сообщение для s3dworld Найти все сообщения от s3dworld
  № 3  
Ответить с цитированием
s3dworld

Регистрация: Apr 2010
Сообщений: 170
Ну а можно как-нибудь на сервере запрещать выполнение скриптов, если они были вызваны не с того адреса, который я буду указывать?

Старый 16.05.2010, 23:15
udaaff вне форума Посмотреть профиль Отправить личное сообщение для udaaff Найти все сообщения от udaaff
  № 4  
Ответить с цитированием
udaaff
...

модератор форума
Регистрация: Sep 2006
Адрес: Minsk
Сообщений: 4,286
Не занимайтесь ерундой.

Старый 18.05.2010, 20:25
Mr_Smitt вне форума Посмотреть профиль Отправить личное сообщение для Mr_Smitt Найти все сообщения от Mr_Smitt
  № 5  
Ответить с цитированием
Mr_Smitt

Регистрация: May 2010
Сообщений: 1
Если по декомпиляции паришься то используй абфускатор, тогда несмогут..
А что касается запросов то поддержу udaaff'а их все видно в Charles.. при желании можно перехватить запрос и подредактировать его..

Старый 23.05.2010, 23:29
AlexanderKai вне форума Посмотреть профиль Отправить личное сообщение для AlexanderKai Найти все сообщения от AlexanderKai
  № 6  
Ответить с цитированием
AlexanderKai

Регистрация: Mar 2010
Сообщений: 11
Запросы можно шифровать.

Создать новую тему Ответ Часовой пояс GMT +4, время: 06:52.
Быстрый переход
  « Предыдущая тема | Следующая тема »  

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.


 


Часовой пояс GMT +4, время: 06:52.


Copyright © 1999-2008 Flasher.ru. All rights reserved.
Работает на vBulletin®. Copyright ©2000 - 2026, Jelsoft Enterprises Ltd. Перевод: zCarot
Администрация сайта не несёт ответственности за любую предоставленную посетителями информацию. Подробнее см. Правила.