|
|
« Предыдущая тема | Следующая тема » |
Опции темы | Опции просмотра |
|
|
|||||
блогер
Регистрация: Jun 2005
Адрес: Господи пожалуйста не Новосибирск
Сообщений: 6,598
Записей в блоге: 17
|
Клиент-сервер:
На клиент передается некоторый сессионный ключ. В открытом виде. И, например, userID. При каждом запросе на сервер передается как userID, так и ключ. Происходит проверка, совпадает ли ключ для этого userID'a. Если нет - ошибка. Таким образом человек может делать покупки только от своего userID'a, т.к. ключ сессии для другого userID'а ему не получить никак. Да, запрос покупки можно перехватить. И отправить его ещё 100 раз. Но это будет эквивалентно, если бы человек решил купить эту вещь 100 раз и с клиента. Клиент-соцсеть: Защиты никакой. Можно отправить любой запрос на всё что угодно. Поэтому запросы к соц. сети должны быть чисто информационными. Например, узнать список друзей. Сервер-соцсеть: Есть специальный секретный ключ для транзакций (обычно называют солью), который доступен только серверу и администратору приложения. С сервера его не получить никак - он зашит в скриптах сервера, и из контакта никак - меняется и виден только из админки. Вот он и является верификацией. Обычно используют с приблудами - вычисляют MD5 от соединения разных параметров и него.
__________________
Тут мужик танцует и поёт про флэш |
|
|||||
Цитата:
Ладно вот привиду пример, как прило мое на днях взломали: Суть приложения в том чтобы тыкать на фотки и чем больше ты тыкаешь- тем больше баллов зарабатываешь. Один чел не долго думая отправил запрос сотню раз... Вот и получается что без сохранения неких переменных или времени запроса никак
__________________
------------------------------- FLASH FLASH FLASH FLASH FLASH |
|
|||||
блогер
Регистрация: Jun 2005
Адрес: Господи пожалуйста не Новосибирск
Сообщений: 6,598
Записей в блоге: 17
|
Сервер должен вводить какие-то ограничения. Мол, тыкать можно не чаще чем раз в полсекунды. Но бота, или кликера, всегда можно сделать. Их ведь делают для разных ММОРПГ.
__________________
Тут мужик танцует и поёт про флэш |
|
|||||
Я почему то всегда думал что чтобы взломать приложение надо быть хакером. А на деле получается что чтобы защетить приложение - надо жертвовать процессами
__________________
------------------------------- FLASH FLASH FLASH FLASH FLASH |
Часовой пояс GMT +4, время: 16:09. |
|
« Предыдущая тема | Следующая тема » |
Опции темы | |
Опции просмотра | |
|
|