Flashforum - Die Community zu Adobe Flash, Flex AIR. Web Design und Inspiration.

Preldi · 25-03-2004, 15:54

Hallo,

amfphp stellt ja eine Funktion bereit, was verhindert, dass die serverseitigen Funktionen unauthorisiert ausgeführt werden können. Mit setCredentials() kann sich ein Client bei dem Serverscript authorisieren.

Die Authorisierungsdaten müssen dazu ja in jedem Falle clientseitig verfügbar sein, sind also im plain-Format in irgendeiner Weise abrufbar (z.B. im swf als String abgelegt).

Nun meine Frage: Wozu sollte ich deswegen eine Passwortabfrage in ein Script einbauen, wenn die Logindaten sowieso für jeden Nutzer einsehbar sind?

Ich finde das recht interessant, die serverseitigen Scripte irgendwie zu schützen, aber diese Möglichkeit erscheint mir Wirkungslos. Hat von Euch jemand eine Idee dazu?

Viele Grüße

Stefan

JoshXP · 25-03-2004, 16:52

wie in jedem andren php projekt auch mit passwort und username in der DB in kompination mit gültigen sessions.

Es gibt auch von pear LiveUser authetifikation package

Preldi · 25-03-2004, 17:12

Hallo,

vielen Dank für Deine schnelle Antwort. Aber auch wenn ich die Login-Daten an eine Session binde, kann sich doch jeder einen gültigen Session-Key holen und hat somit Zugriff auf die serverseitigen Funktionen.

Wenn ich mich wie bei jedem Login/Passwort basiertem PHP-Projekt authorisieren muss, benötige ich doch kein extra Login für die serverseitigen Funktionen, oder?

Hab ich da nen Knoten in meinen Gehirnwindungen? Denn ich hab den Sinn dieser Funktion immernoch nicht verstanden.

Viele Grüße

Stefan

JoshXP · 26-03-2004, 07:21

ah einfach ma so einen gültigen session key holen ????????

bewahre doch einfach die UserID in der session auf so das du sie bei DB abfragen zur hand hast. Erstellt wird die session ID von einem Service oder in der Constructor funktion.

Preldi · 29-03-2004, 11:44

Ok, aber die Funktion setCredentials wird doch clientseitig vom SWF ausgeführt, was bedeutet, dass die Daten dafür auch beim Client vorhanden sein müssen (ob sie nur während der Laufzeit vorhanden sind oder generell spielt ja keine Rolle).

Natürlich kann ich die Funktionen, die ich mit Hilfe von NetConnect auf dem Server anspreche, in einem Bereich ablegen, den man nur mit einem gültigen Login erreicht. Dazu benötige ich aber nicht setCredentials.

So wie ich das verstanden habe, kann ich mit der Funktion die serverseitigen Scripte nur vor denjenigen sichern, die nicht die Möglichkeit haben, den Inhalt des SWF genauer unter die Lupe zu nehmen oder die Datenkommunikation zwischen Server und Client nicht einsehen können (aus welchen Gründen auch immer).

Aber wirkliche Sicherheit bringt das doch nicht, oder?

Viele Grüße

Stefan

25-03-2004, 15:54	#1 (permalink)
Preldi isNaN Registriert seit: Jul 2002 Beiträge: 57	amfphp und setCredentials Hallo, amfphp stellt ja eine Funktion bereit, was verhindert, dass die serverseitigen Funktionen unauthorisiert ausgeführt werden können. Mit setCredentials() kann sich ein Client bei dem Serverscript authorisieren. Die Authorisierungsdaten müssen dazu ja in jedem Falle clientseitig verfügbar sein, sind also im plain-Format in irgendeiner Weise abrufbar (z.B. im swf als String abgelegt). Nun meine Frage: Wozu sollte ich deswegen eine Passwortabfrage in ein Script einbauen, wenn die Logindaten sowieso für jeden Nutzer einsehbar sind? Ich finde das recht interessant, die serverseitigen Scripte irgendwie zu schützen, aber diese Möglichkeit erscheint mir Wirkungslos. Hat von Euch jemand eine Idee dazu? Viele Grüße Stefan

25-03-2004, 17:12	#3 (permalink)
Preldi isNaN Registriert seit: Jul 2002 Beiträge: 57	Hallo, vielen Dank für Deine schnelle Antwort. Aber auch wenn ich die Login-Daten an eine Session binde, kann sich doch jeder einen gültigen Session-Key holen und hat somit Zugriff auf die serverseitigen Funktionen. Wenn ich mich wie bei jedem Login/Passwort basiertem PHP-Projekt authorisieren muss, benötige ich doch kein extra Login für die serverseitigen Funktionen, oder? Hab ich da nen Knoten in meinen Gehirnwindungen? Denn ich hab den Sinn dieser Funktion immernoch nicht verstanden. Viele Grüße Stefan Geändert von Preldi (25-03-2004 um 17:25 Uhr)

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

25-03-2004, 16:52	#2 (permalink)
JoshXP logout Registriert seit: Aug 2003 Ort: Freiburg Beiträge: 354	wie in jedem andren php projekt auch mit passwort und username in der DB in kompination mit gültigen sessions. Es gibt auch von pear LiveUser authetifikation package

26-03-2004, 07:21	#4 (permalink)
JoshXP logout Registriert seit: Aug 2003 Ort: Freiburg Beiträge: 354	ah einfach ma so einen gültigen session key holen ???????? bewahre doch einfach die UserID in der session auf so das du sie bei DB abfragen zur hand hast. Erstellt wird die session ID von einem Service oder in der Constructor funktion.

29-03-2004, 11:44	#5 (permalink)
Preldi isNaN Registriert seit: Jul 2002 Beiträge: 57	Ok, aber die Funktion setCredentials wird doch clientseitig vom SWF ausgeführt, was bedeutet, dass die Daten dafür auch beim Client vorhanden sein müssen (ob sie nur während der Laufzeit vorhanden sind oder generell spielt ja keine Rolle). Natürlich kann ich die Funktionen, die ich mit Hilfe von NetConnect auf dem Server anspreche, in einem Bereich ablegen, den man nur mit einem gültigen Login erreicht. Dazu benötige ich aber nicht setCredentials. So wie ich das verstanden habe, kann ich mit der Funktion die serverseitigen Scripte nur vor denjenigen sichern, die nicht die Möglichkeit haben, den Inhalt des SWF genauer unter die Lupe zu nehmen oder die Datenkommunikation zwischen Server und Client nicht einsehen können (aus welchen Gründen auch immer). Aber wirkliche Sicherheit bringt das doch nicht, oder? Viele Grüße Stefan