Форум Flasher.ru
Ближайшие курсы в Школе RealTime
Список интенсивных курсов: [см.]  
  
Специальные предложения: [см.]  
  
 
Регистрация Блоги Правила Справка Пользователи Календарь Поиск рулит! Сообщения за день Все разделы прочитаны
 

Вернуться   Форум Flasher.ru > Flash > API приложений и сред

Версия для печати  Отправить по электронной почте    « Предыдущая тема | Следующая тема »  
Опции темы Опции просмотра
 
Создать новую тему Ответ
Старый 20.03.2011, 16:13
aaanet вне форума Посмотреть профиль Отправить личное сообщение для aaanet Найти все сообщения от aaanet
  № 1  
Ответить с цитированием
aaanet
 
Аватар для aaanet

Регистрация: Nov 2003
Сообщений: 474
Отправить сообщение для aaanet с помощью ICQ
По умолчанию Безопасность. Как обезопасить приложение.

Доброго времени суток!

Поиском пользовался, ничего более-менее 100%го не находил.
Столкнулся с созданием приложения ВКонтакте.
Более-менее всё понятно, особых вопросов нету, кроме... безопасности.

Если:
1. Проверять auth_key.
2. Обфусцировать приложение.
3. Слать "левые"/шифрованные, хотябы md5 запросы.
4. Запутывать эти самые запросы.

Всё это конечно хорошо, но это избавит от школьников, не более того. Эти запросы легко дублировать. Кстати, что делать против дублирования?

Какие еще способы обезопасить приложение есть?

Спасибо!

Старый 20.03.2011, 16:28
Astraport вне форума Посмотреть профиль Отправить личное сообщение для Astraport Найти все сообщения от Astraport
  № 2  
Ответить с цитированием
Astraport
 
Аватар для Astraport

блогер
Регистрация: Sep 2009
Сообщений: 2,463
Записей в блоге: 2
Недавно давали код как принимать запросы на сервере только по определенным IP.

Старый 20.03.2011, 16:29
etc вне форума Посмотреть профиль Найти все сообщения от etc
  № 3  
Ответить с цитированием
etc
Et cetera
 
Аватар для etc

Регистрация: Sep 2002
Сообщений: 30,779
От дублирования в каком смысле?

Старый 20.03.2011, 17:11
aaanet вне форума Посмотреть профиль Отправить личное сообщение для aaanet Найти все сообщения от aaanet
  № 4  
Ответить с цитированием
aaanet
 
Аватар для aaanet

Регистрация: Nov 2003
Сообщений: 474
Отправить сообщение для aaanet с помощью ICQ
Цитата:
Сообщение от etc Посмотреть сообщение
От дублирования в каком смысле?
К примеру, посылаем запрос на php скрипт. Который в свою очередь проверяет auth_key и еще несколько зашифрованных параметров. И, к примеру, php скрипт отвечает за добавления очков в БД. Но, ведь можно все эти запросы послать по несколько раз. И прибавиться N'ое количество очков.

Цитата:
Сообщение от Astraport Посмотреть сообщение
Недавно давали код как принимать запросы на сервере только по определенным IP.
?
На сколько мне известно, контакт не разрешает собирать у юзеров такие данные, как IP, могу конечно ошибаться.
Но в любом случае, от дублирования не спастись таким способом, но всё же.


Последний раз редактировалось aaanet; 20.03.2011 в 17:14.
Старый 20.03.2011, 17:21
etc вне форума Посмотреть профиль Найти все сообщения от etc
  № 5  
Ответить с цитированием
etc
Et cetera
 
Аватар для etc

Регистрация: Sep 2002
Сообщений: 30,779
Цитата:
Сообщение от aaanet Посмотреть сообщение
К примеру, посылаем запрос на php скрипт. Который в свою очередь проверяет auth_key и еще несколько зашифрованных параметров. И, к примеру, php скрипт отвечает за добавления очков в БД. Но, ведь можно все эти запросы послать по несколько раз. И прибавиться N'ое количество очков.
Это значит, что у вас криво написан сервер, который не запрещает повторную отправку. Правьте сервер.

Старый 20.03.2011, 17:24
goodguy вне форума Посмотреть профиль Найти все сообщения от goodguy
  № 6  
Ответить с цитированием
goodguy
Banned
[+1 05.11.11]
[+1 09.08.11]

Регистрация: Jan 2010
Адрес: РФ. Кемеровская область
Сообщений: 3,243
Тоже заинтересовал этот вопрос.
Цитата:
Это значит, что у вас криво написан сервер, который не запрещает повторную отправку.
Ну а если сделать, чтобы запрещал, то как само приложение сможет отправить еще один, реальный, запрос?
Как такое лучше реализовать?

Старый 20.03.2011, 17:25
aaanet вне форума Посмотреть профиль Отправить личное сообщение для aaanet Найти все сообщения от aaanet
  № 7  
Ответить с цитированием
aaanet
 
Аватар для aaanet

Регистрация: Nov 2003
Сообщений: 474
Отправить сообщение для aaanet с помощью ICQ
Цитата:
Сообщение от etc Посмотреть сообщение
Это значит, что у вас криво написан сервер, который не запрещает повторную отправку. Правьте сервер.
Подскажите, как?
Ведь можно этот же запрос повторить, к примеру, через 10 минут, или через 1 час.

Старый 20.03.2011, 17:25
etc вне форума Посмотреть профиль Найти все сообщения от etc
  № 8  
Ответить с цитированием
etc
Et cetera
 
Аватар для etc

Регистрация: Sep 2002
Сообщений: 30,779
Цитата:
Сообщение от aaanet Посмотреть сообщение
Подскажите, как?
Ведь можно этот же запрос повторить, к примеру, через 10 минут, или через 1 час.
Заводите сессию, убивайте после получения очков, хотя бы.

Старый 20.03.2011, 17:30
aaanet вне форума Посмотреть профиль Отправить личное сообщение для aaanet Найти все сообщения от aaanet
  № 9  
Ответить с цитированием
aaanet
 
Аватар для aaanet

Регистрация: Nov 2003
Сообщений: 474
Отправить сообщение для aaanet с помощью ICQ
Цитата:
Сообщение от etc Посмотреть сообщение
Заводите сессию, убивайте после получения очков, хотя бы.
Ну сессия в PHP. А тут снова такой же запрос, и в этом запросе всё как и от самого приложения. И снова в php создастся сессия, добавяться очки и сессия завершится. Тоже по-моему дублировать без проблем можно.

Старый 20.03.2011, 17:32
etc вне форума Посмотреть профиль Найти все сообщения от etc
  № 10  
Ответить с цитированием
etc
Et cetera
 
Аватар для etc

Регистрация: Sep 2002
Сообщений: 30,779
aaanet, id-сессии использовать в качестве ключа для запроса нужно. Хотя бы.

Создать новую тему Ответ Часовой пояс GMT +4, время: 01:36.
Быстрый переход
  « Предыдущая тема | Следующая тема »  
Опции темы
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.


 


Часовой пояс GMT +4, время: 01:36.


Copyright © 1999-2008 Flasher.ru. All rights reserved.
Работает на vBulletin®. Copyright ©2000 - 2020, Jelsoft Enterprises Ltd. Перевод: zCarot
Администрация сайта не несёт ответственности за любую предоставленную посетителями информацию. Подробнее см. Правила.