|
|
|||||
[+1 19.06.10]
[+1 27.07.10] Регистрация: Aug 2009
Адрес: UTC+2
Сообщений: 353
|
Цитата:
которую отдает PHP. как только правильный swf загрузится, этот Sessid перестанет быть актуальным. И если FMS через NetConnection получит этот sessid снова, то он его не найдет в своей БД и отдавать никому ничего не будет, т.к. у него уже есть такой активный коннект чтобы неправильный плеер работал, надо хватать все ответы сервера и загружать неправильные плееры раньше правильных как это можно реализовать ? Последний раз редактировалось Crenth; 05.02.2010 в 16:57. |
|
|||||
Регистрация: Feb 2010
Сообщений: 3
|
Crenth, URLLoader, ссылка на страничку плеера, дальше думаю объяснять не нужно.
kackbip, поведение плеера тоже раскалывается просто (достаточно вспомнить не так уж давние события с icq) В данном случае нужно генерировать плеер на сервере и вшивать этот самый ключ в сам плеер. Воспользуются Loader для загрузки такого плеера, наткнутся на грабли с кроссдоменом. Если URLLoader, то придется колупаться с форматом флешки. Ну и для надежности вшиваемый ключ делать переменной длинны и с разным именем. |
|
|||||
[+1 19.06.10]
[+1 27.07.10] Регистрация: Aug 2009
Адрес: UTC+2
Сообщений: 353
|
А я не в курсе. Объясните подробнее, плиз...
|
|
|||||
Регистрация: Feb 2010
Сообщений: 3
|
Crenth, скачиваем страничку, выковыриваем ключик, идем к серверу с видео и прикидываемся правильным плеером
|
|
|||||
[+1 19.06.10]
[+1 27.07.10] Регистрация: Aug 2009
Адрес: UTC+2
Сообщений: 353
|
bti, ssid то одноразовый. вы только одно видео получите по нему. а чтобы качать без ограничений, надо стыривать все сиды с правильного сервера
|
|
|||||
Регистрация: Feb 2010
Сообщений: 3
|
Crenth, и в чем собственно проблема?
захотели видео? 1) скачать страничку с плеером 2) выковырять из нее сид 3) обратится к серверу с видео и прикинутся правильным 4) захотели еще? повторить с п.1 |
|
|||||
@Crenth
Смысл в том, что скачивая страничку через URLLoader, вы не скачиваете сам плеер. Только ssid, который вписан в тэгах <Object> и <Embed>. Так как вы не скачиваете плеер, то обращения с данным ssid в базу не поступает => есть вариант притвориться "правильным", как и сказал bti @Taner Как вариант - компилировать swf на лету и отдавать его с вписанным внутри адресом видео. Тогда злоумышленник должен скачать Ваш плеер, распарсить байткод, вынуть адрес и только тогда он получит видео. Если компилировать со случайным именем переменной, содержащей адрес - фиг чего получится автоматизировать. Если же по тому же алгоритму еще и ssid прикрутить, то вариантов станет вообще немного.
__________________
...вселенская грусть |
|
|||||
[+1 19.06.10]
[+1 27.07.10] Регистрация: Aug 2009
Адрес: UTC+2
Сообщений: 353
|
да, bti, я понял замысел.
однако, компиляция на лету увеличит время отклика. если клиентов у этого плеера не много - никто этого не почувствует. а если тыщи - то компиляция загрузит мозги сервера по самые помидоры... что если компилить не при каждом запросе на загрузку, а раз в T секунд, например. а в теле плеера использовать функцию преобразования resp=F(ssid) и на сервер слать не ssid, а resp. например, сейчас мы скопилили плеер со встроенным механизмом resp=MD5(ssid) через минуту функция будет уже resp=MD5(ssid+ssid) еще через минуту функция resp=MD5(MD5(ssid)) а интервал перекомпилиции Т выбрать такой, чтобы он был меньше, чем теоретическое время на парсинг кода |
|
|||||
Регистрация: Jan 2010
Сообщений: 44
|
Можно в зависимости от даты + (любой код) генерить уникальный md, при запросе проверять пришедший идентификатор. Если кто и сопрет идентификатор, проработает он не больше установленного Вами времени. как пример
|
|
|||||
блогер
Регистрация: Jun 2005
Адрес: Господи пожалуйста не Новосибирск
Сообщений: 6,598
Записей в блоге: 17
|
Но ведь можно вскрыть флешку и увидеть, как идентификатор составляется.
Защиты нет - если ваше приложение станет НАСТОЛЬКО популярным, что к нему будут писать палёные клиенты - я лично вам только позавидую.
__________________
Тут мужик танцует и поёт про флэш |
Часовой пояс GMT +4, время: 17:23. |
|
« Предыдущая тема | Следующая тема » |
|
|