Highscore und Security, neuer Lösungsansatz !!

[berden]

Hallo,

Ich habe heute viele Bücher gewälzt, aber keine Lösung zu meiner Frage entdecken können. Hier im Forum konnte ich viele Ideen finden aber eben nicht das Richtige !! Deswegen fasse ich meinen Lösungsansatz mal aus allen Kombinationen zusammen.

Ich habe ein Mehrzeiliges Eingabe Textfeld ausserhalb der sichtbaren Bühne !!
Dieses Textfeld ist einer _root.testfunk variable zugewiesen !!
Der Inhalt im Text Feld ist eine Funktions deklaration (z.b function testeMich(testwert) {return testWert;})

Jetzt möchte ich zur Laufzeit diese Funktion in der Variablen aufrufen oder den Inhalt der Variable Nutzen um Sie einer Funktion zuzuweisen!!

Das Eingabefeld ist im übrigen ein Passwortfeld (*****).

Kann man im Action Script Viewer 1. Objekte sehen die *** Felder sind, bzw diese **** ausblenden und den Inhalt lesen ?

Meine Funktion ist ein Komplexer Algorithmuss der einen Random Wert, welcher vom Server übergeben wurde durch diesen jagd (auch eine Punktzahl wird in diesem verarbeitet). Das Ergebnis wird zusammen mit anderen Werten zurückgeschickt. Der Server rechnet dann die selbe Formel mit der Punktzahl die ich sende und dem Random Wert den er mir gesendet hat. Der Random Wert wurde als Session variable Serverseitig gespeichert. Das Ergebnis der Operation wird beiderseitig noch MD5 verpackt, was nur zur Verwirrung beiträgt.

Stimmt nun die Rechnung des Servers mit der Übergebenen Prüfsumme überein, werden die eigentlich Daten gespeichert. Das ganze geht auch nur einmal, weil nach einem Post sich der Random Wert wieder ändert. Das wird vom Server durchgeführt und in der Session gehalten. Dieser neu Wert wird an den Flash zurück gesandt. Dient auch der Verwirrung !!

Das System ist nur Hackbar, wenn jemand 1. Die Formel im AS findet. 2. Eine gültige und aktive Session zum Server offen hat. 3. den Random Wert im Header ausliest. Eine eigene Punktzahl durch den Algorythmus jagd und diese nach MD5 verschlüsselt mit per Post (nicht get) mit der richtigen Session im Header die den random Wert hält an den Server sendet, bevor es die Applikation tut, weil ja dann der random Wert wieder ein anderer ist. D.h das Posten zu lauschen und an die Url mit dem bekannten Random Wert nachsenden würde nicht gehen !!

Ich suche nach Schwachstellen in diesem Ansatz. So wie ich das sehe liegt das Problem nur im Algorithmus. Kann man diesen auslesen aus den *** Eingabetextfeldern? Und kann man mit diesem Inhalt überhaupt eine Funktion deklarieren ?

Alternativ würde ich z.B 10 - 100 Eingabe Textfelder im Film ausserhalb der Bühne verteilen und diese dann variablen zuweisen. Die Funktion müsste dann quasi offen liegen bleiben. Aber mit diesen variablen rechnen etc.

Dann müsste der Hacker die Funktion nehmen. Den Post abfangen und eine Schleife programmieren die diese Funktion mit unterschiedlichen Werten abarbeitet bis Sie das gleiche Ergebnis bringt. Was sicherlich sehr Zeit intensiv, aber auf jeden Fall möglich ist. !!

Besser wäre mann kann den Algorythmus verstecken !!

Den Flash als .gif, .sav oder so umbenenen damit Ihn keiner so schnell im Cache findet könnte auch verwirrend sein. zumal das movie nachgeladen wird in dem der code steht. Das nachzuladende Movie ist auch in eimen Passwort Eingabetext codiert. Es befindet sich aber im Cache als z.b rahmen_bg.gif gösse 10 kb.

Das man mit Softice den Hauptspeicher debuggen kann und diese Daten dann manipuliert und dem Flash das eigentlcihe Überlässt, ist mir an dieser Stelle klar. Dafür kann man nur noch plausibilitäts Prüfungen einbauen !!

Wie seht Ihr das !! Wo sind meine Denkfehler oder wie kann man es noch sicherer machen und was ist überflüssig. Ich glaube das man aus diesen Asätzen einen passablen Prototypen bauen kann der so sicher ist, weil die meisten aus Zeitgründen nach 1 bis 2 Stunden aufgeben werden. Ausserdem könnte man diesen Prototypen innerhlab eines Tages Arbeit implementieren und innerhalb ca. 1 Stunde customizen !!.

Freue mich auf Meinungen !!