Sicherheit,Decompiler,Variablen verschleiern/verschlüsseln

[marianG]

Hallo Flashforum!
habe bisher nur mitgelesen und wollte jetzt aber auch mal eine Frage stellen.

Gibt es eine möglichkeit SWF-Files so zu schützen das man sie nichtmehr oder wenigstens bestimmte teile nicht mehr decompilen kann?

Das wichtigste sind die declarierten php-Variablen und der php-Pfad.
Ich habe mal mitbekommen das man die Variablen so schreiben kann, $vari$??

Oder wie hat sich das Macromedia forgestellt mit der Uploadfunktion? Die Datenformate werden ja auch in Flash festgelegt. Das könnte man sicher auch ins PHP schreiben.. dennoch überzeugt mich Flash in sachen sicherheit überhaubt nicht, oder kennt ihr vieleicht eine möglichkeit die clientseitigen functionen zu verschlüsseln? Dann hab ich noch eine frage wie man md 5 verschlüsseltes php in flash ausliest? Ist doch auch schon wieder unsicher wenn der Client entschlüsselt..hmmm


Gruß

[hgseib]

flash ist genauso sicher, wie jede html-seite.

"..Das wichtigste sind die declarierten php-Variablen und der php-Pfad.."
was soll daran wichtig sein?
du musst in php drauf achten, was du durchlässt und was nicht. das hat nichts mit dem frondend zu tun.


"..wie man md 5 verschlüsseltes php in flash ausliest?.."
garnicht
a) wenn du jedem "zeigst", wie du deine verschlüsselte daten entschlüsselts, dann kannst du das auch gleich bleiben lassen.
und
b) was soll flash mit php anfangen?

alles was 'geheim' bleiben soll bleibt auf dem server. zum clienten schickst du nur, was der user sehen soll. und da er es sehen soll macht eine verschlüsselung dieser daten wenig sinn.

[marianG]

Ok danke für die prompte Antwort!

Das bedeutet dass ich php Seitig auch den nächsten Seiten aufruf Starten muss,
also keine if Abfragen auf dem Clienten. Wie soll man aber zB eine Highscore machen wenn die Variablen in Flash generiert werden? Is doch ein leichtes das zu faken!

[hgseib]

alles schon 10.000 mal besprochen worden - ohne erfolg ;-)
woran soll jemand, ob computer oder mensch erkennen können, ob daten falsch oder richtig sind.
richtige daten können falsch erstellt worden sein. wie unterscheidest du das von richtig echten daten?

"sicher" ist z.b. das:
wenn du im stillen kämmerlein etwas mit PGP verschlüsselst und das jemandem schickst der den 2. schlüssel hat. da ist kaum drann zu rütteln (also mit den mitteln, die unsereiner so hat) .. und solange dich keiner in deinem kämmerlein besuchen kommt.

"sicher" ist z.b. das:
schmurz krummel tocktock
denn nur ich weiss, das das bedeutet ;-)

naja und diese quantenversuche mit den doppelten lotschen oder so, die sind auch nicht so ohne weiteres zu knacken.
aber alles andere ... erfinde mal etwas sicheres, damit wirst du steinreich!

[marianG]

Zitat:

b) was soll flash mit php anfangen?

Ich wollte eigentlich meine Bildergalerie Flashseitig mit Daten füttern und
dafür brauch ich eine Passwortabfrage.

Sicher wäre wenn keine If abfrage im SWF liegt sondern die überprüfung im PHP von statten geht. Wenn die Eingaben korekt sind sollte also eine neue Seite mit einem neuen SWF geladen werden..

naja ansonsten kann man halt sowas machen gehackt

[zerlettino]

Zitat:

Zitat von hgseib

schmurz krummel tocktock

.. bedeutet soviel wie "Die Flinte ins Korn werfen".




.. man kann die übergaben flash->php mit einem mehr oder weniger komplexen algorithmus verschlüsseln. das kann man natürlich anhand eines decompilers nachvollziehen, aber es ist auf jedenfall ein gewisser grundschutz, da mit dem nachbau der verschlüsselung ein zeitlicher aufwand verbunden ist.
100%igen schutz gibts hald nich.

grüße

[marianG]

dazu noch eine Frage, kann man den Server nach Inhalt durchsuchen, also das SWF-File aufindig machen wo die Uploadfunktionen drinne sind?

[projecktx]

Zitat:

Zitat von marianG

Ich wollte eigentlich meine Bildergalerie Flashseitig mit Daten füttern und
dafür brauch ich eine Passwortabfrage.

Sicher wäre wenn keine If abfrage im SWF liegt sondern die überprüfung im PHP von statten geht. Wenn die Eingaben korekt sind sollte also eine neue Seite mit einem neuen SWF geladen werden..

naja ansonsten kann man halt sowas machen gehackt

^^^^ das da hat rein garnichts mit hacken zu tun

Zitat:

0000 00 04 0E 63 52 2F 00 30 84 76 A8 9C 08 00 45 00 ...cR/.0.v....E.
0010 01 3C 18 1F 40 00 80 06 E2 45 C0 A8 B2 14 54 9D .<..@....E....T.
0020 37 FD 0F C0 00 50 41 41 96 13 26 A0 55 4C 50 18 7....PAA..&.ULP.
0030 FA F0 A1 2F 00 00 43 6F 6E 74 65 6E 74 2D 74 79 .../..Content-ty
0040 70 65 3A 20 61 70 70 6C 69 63 61 74 69 6F 6E 2F pe:.application/
0050 78 2D 77 77 77 2D 66 6F 72 6D 2D 75 72 6C 65 6E x-www-form-urlen
0060 63 6F 64 65 64 0D 0A 43 6F 6E 74 65 6E 74 2D 6C coded..Content-l
0070 65 6E 67 74 68 3A 20 32 30 34 0D 0A 0D 0A 6F 6E ength:.204....on
0080 4C 6F 61 64 3D 25 35 42 74 79 70 65 25 32 30 46 Load=%5Btype%20F
0090 75 6E 63 74 69 6F 6E 25 35 44 26 73 65 63 75 72 unction%5D&secur
00A0 65 3D 73 65 63 31 37 78 33 64 26 64 75 72 63 68 e=sec17x3d&durch
00B0 73 63 68 6E 69 74 74 5A 65 69 74 3D 33 31 32 33 schnittZeit=3123
00C0 38 25 32 45 33 33 33 33 33 33 33 33 33 33 26 67 8%2E3333333333&g
00D0 65 73 61 6D 6D 74 5A 65 69 74 3D 39 33 37 31 35 esammtZeit=93715
00E0 26 72 75 6E 64 65 33 3D 32 38 37 34 32 26 72 75 &runde3=28742&ru
00F0 6E 64 65 32 3D 32 38 35 33 31 26 72 75 6E 64 65 nde2=28531&runde
0100 31 3D 33 36 34 34 32 26 66 61 68 72 65 72 25 35 1=36442&fahrer%5
0110 46 65 6D 61 69 6C 3D 74 72 6F 74 65 6C 25 34 30 Femail=trotel%40
0120 61 72 73 63 68 6C 6F 63 68 25 32 45 64 65 26 66 arschloch%2Ede&f
0130 61 68 72 65 72 25 35 46 6E 61 6D 65 3D 64 75 6D ahrer%5Fname=dum
0140 6D 25 32 30 62 65 75 74 65 6C m%20beutel

^^^ falls dir das was sagt das ist ein packet was dein swf per http an deinen apache schickt.. eine packet generator ist auch bei dem packet capture sniffer mit dabei den ich benutzt hab.. das ändern der werte etc würde jetzt genau 3 minten dauern und ich esse noch neben bei ein teller erbsensüppschen

Gruss Sascha

[marianG]

Wobei wir jetzt dann wieder bei der definiton von Hacken wären..
also Fazit- ich mach sowas jetzt generell net mit Flash, ich erzeuge lieber ein HTML auf dem Server mit Smarty..

[marianG]

Ok mit diesem Sniffer ist es natürlich eleganter solche Daten zu faken..
meine Lösung, decompilen - zum Flasch exportieren und die Variablen fix angeben- hat mich auch nur eine min gekosted

[Attila [derErschaffer]]

flash und html werden clientseitig ausgeführt, dh was kommunikation angeht können beide das selbe...wenn etwas in html unsicher ist wird es in flash genauso unsicher sein

zum thema passwort und einloggen gibts glaub ich unzählige themen dazu, das hat mit flash oder html nichts zu tun, weil ich ja das passwort hoffentlich am server habe in einer DB oder file und somit keiner dran kommt ohne einen ftp zugang bzw zur datenbank

zum thema highscore, ist bei html genauso unsicher wie bei flash, allerdings hab ich bei flash bessere möglichkeiten es jemanden schwerer zu machen der es manipulieren will

sonst wurde glaube ich schon alles gesagt...

[marianG]

Zitat:

ich erzeuge lieber ein HTML auf dem Server mit Smarty..

HTML kann man Serverseitig generieren, ein SWF nicht!

PHP-Code:

zum thema passwort und einloggen gibts glaub ich unzählige themen dazu, das hat mit flash oder html nichts zu tun, weil ich ja das passwort hoffentlich am server habe in einer DB oder file und somit keiner dran kommt ohne einen ftp zugang bzw zur datenbank 


Das ist doch egal ob das PW auf nem Server liegt, wenn du die Abfrage im SWF ausführst komm ich auch ohn PW rein! Die komplette Abfrage und(!) weiterleitung muss über das PHP gehen! Die Weiterleitung sollte ausserdem auf ein generiertes HTML verlinken.

Alles andere (Clientseitige) ist in einer min geknackt

[projecktx]

Zitat:

Zitat von marianG

HTML kann man Serverseitig generieren, ein SWF nicht!

wer sagt das????
die kostenpflichtige variante:
http://www.macromedia.com/de/software/flex/
die kostenlose:
www.openlaszlo.org
und noch eine kostenlose(allerdings recht eingeschränket und komplizierte möglichkeit:
http://ming.sourceforge.net/

Zitat:

Zitat von marianG

PHP-Code:

zum thema passwort und einloggen gibts glaub ich unzählige themen dazu, das hat mit flash oder html nichts zu tun, weil ich ja das passwort hoffentlich am server habe in einer DB oder file und somit keiner dran kommt ohne einen ftp zugang bzw zur datenbank 


Das ist doch egal ob das PW auf nem Server liegt, wenn du die Abfrage im SWF ausführst komm ich auch ohn PW rein!

das ist logisch aber wer speichert erst etwas nachdems verschlüsselt wurde auf dem server und holt sich die verschlüsselten daten dann nochmal ins flash?...

übrigens ist es egal wo verschlüsselt wird, da der einzigste weg das passwort auf dem wege rauszubekommen ein bypass wäre und wer schon solche probs hat hat auch nen keyhook irgendwo im hintergrund laufen(natürlich ungewollt) aber vom prinzip her sicherer wäre dann schon eine verschlüsselung im flash da der "hacker"(spielekind) dann auch noch etwas mehr können muss als nur trojan zu installieren btw wenn due auch noch eine session id einbaust die beim einlog-vorgang gegencheckst und noch den refferer zur hilfe ziehst ist nix mehr mit gefakten flash und vom projektor oder ner fremdseite aus reinkommen

Zitat:

Zitat von marianG

Die komplette Abfrage und(!) weiterleitung muss über das PHP gehen! Die Weiterleitung sollte ausserdem auf ein generiertes HTML verlinken.

Alles andere (Clientseitige) ist in einer min geknackt

nö-->
http header, refferer, schonmal gehört?.. mach einfach in dem php auf das du nach dem einloggen kommst ne refferer abfrage.. stimmt der refferer net ists a fake(wäre dann die einfache variante).. in dem falle leiteste ihn dann weiter auf ne seite die ihm spyware installiert den schönen mywebsearch oder die liebe istbar zum beispiel


Gruss Sascha

[zerlettino]

referer kann man faken - außerdem wird der nicht immer mitgeschickt was einige user "aussperrt".

session-id überprüfung kann man auch austricksen.

grüße

[Seedianer]

Zitat:

Zitat von projecktx

wer sagt das????
die kostenpflichtige variante:
http://www.macromedia.com/de/software/flex/
die kostenlose:
www.openlaszlo.org
und noch eine kostenlose(allerdings recht eingeschränket und komplizierte möglichkeit:
http://ming.sourceforge.net/

Das wichtigste hat er wieder vergessen MTASC/ natürlich auch kostenlos

Ich glaube marianG mir is klar was du denkst (nämlich das man ja einfach die komplette passwortumfrage übergehen kann und direkt zum kern der sache vorrückt) allerdings gibts eine einfache lösung du musst auf dem Server bei jeder Aktion den Benutzernamen und das Passwort überprüfen.