Flashforum - Die Community zu Adobe Flash, Flex AIR. Web Design und Inspiration.

p-flash · 26-08-2006, 11:27

Hi,

kennt jemand ein tut oder kann mir Tipps geben, wie ich ein sicheres Login mit Flash proggen kann? Bzw. generell bei der Kommunikation zwischen php und flash. Das Problem ist z.B. dass mit LoadVars.sendAndLoad() eine Antwort von php mit Hilfe von echo an Flash gesendet wird. Das heißt beim Login z.B. echo "ok" bzw. echo "failed". In Flash muss das ja abgefragt werden. if (login == "ok")... usw.

Ein Blick in die swf und Sache ist gegessen. D.h. ja dass das Password eigentlich egal ist. Man muss nur dafür sorgen, dass flash ein "ok" zurück bekommt.

p-flash

elysian · 26-08-2006, 14:27

Xervus,

also solange der Kommunkkationskanal http bleibt, passiert sämtliche Übertragung grundsätzlich unverschlüsselt und somit unsicher. Sicher wird's erst mit SSL, sprich einer https-Verbindung.

Cheers, Thomas.

messingfeld · 28-08-2006, 09:44

@elysian
Das war glaube ich garnicht die Frage.

@p-flash
Irgendwie verstehe ich nicht was du machen willst.

Welchen Sinn hat es das ein serverseitiges LogIn-Skript NUR "ok" oder "failed" zurück gibt?
Was willst du in Flash NUR mit der Aussage "ok" bzw. "failed" machen?

Ich hoffe wohl doch nicht das du soetwas machen willst:

ActionScript:

if(login=="ok") {
    // lade irgendeine Datei, die eigentlich geheim ist
    // springe zu einem Schlüsselbild, das eigentlich geheim ist
}

Da bringt dir ein LogIn nichts, die SWF kann man, wie du bereits andeutest, KOMPLETT auseinander nehmen.

Was du, wie ich es aus der Ferne beurteilen kann, machen müsstest ist, bei jeder serverseitigen Abfrage, die LogIn - Daten (Username + Passwort, bzw. nur einen Hashcode) mitzusenden.
Willst du z.B. einem User seine gespeicherten Daten präsentieren, könnte es so aussehen:

ActionScript:

var sndDaten = new LoadVars();
sndDaten.aktion = "meineDaten";
sndDaten.user = "p-flash";
sndDaten.pw = "*****";
 
sndDaten.sendAndLoad("...");

Das PHP-Skript überprüft dann ob die LogIn-Daten korrekt sind und liefert je nach gewählter Aktion bestimmte Daten.

Z.B. wenn alles KORREKT:

PHP-Code:

  <?xml version="1.0" encoding= "UTF-8" ?> 

<login>

<aktion>meineDaten</aktion>

<status>ok</status>

<user>

<name>p-flash</name>

<userstatus>Routinier</userstatus>

<alter>**</alter>

<wohnort>***********</wohnort>

</user>

</login>

Wenn INKORREKT:

PHP-Code:

  <?xml version="1.0" encoding= "UTF-8" ?> 

<login>

<aktion>meineDaten</aktion>

<status>failed</status>

</login>

In Flash, überprüfst du zwar jetzt auch den Status ("ok" oder "failed"), aber wenn alles "ok" ist, hast du schon die notwendigen Daten (Daten des Users). Also ist keine unsichere Abfrage mehr nötig.
Die if-Abfrage ist also nur noch dazu da um dem User die richtige Ansicht zu zeigen. Entweder eine Übersicht seiner Daten oder das die LogIn-Daten falsch sind.
Flash wird also nur noch zur Visualisierung benutzt.

Wenn du dann auch die Übertragung schützen willst, die sonst generell im Klartext verläuft, kannst du elysian's Tipps zur Rate ziehen.

elysian · 28-08-2006, 11:41

oha, sry fürs missverstehen...

chers, thomas

p-flash · 28-08-2006, 12:46

Jo, danke. Genau das war die Frage. Hört sich ziemlich sicher an.

p-flash

26-08-2006, 11:27	#1 (permalink)
p-flash Waffe==Verstand Registriert seit: Jul 2004 Ort: Düsseldorf Beiträge: 724	(relativ) sicheres Login Hi, kennt jemand ein tut oder kann mir Tipps geben, wie ich ein sicheres Login mit Flash proggen kann? Bzw. generell bei der Kommunikation zwischen php und flash. Das Problem ist z.B. dass mit LoadVars.sendAndLoad() eine Antwort von php mit Hilfe von echo an Flash gesendet wird. Das heißt beim Login z.B. echo "ok" bzw. echo "failed". In Flash muss das ja abgefragt werden. if (login == "ok")... usw. Ein Blick in die swf und Sache ist gegessen. D.h. ja dass das Password eigentlich egal ist. Man muss nur dafür sorgen, dass flash ein "ok" zurück bekommt. p-flash __________________ --------------------------------------- [Interaktiver Spielplan] [My Site V3] www.p-creations.com [My Forum] :.p-creations forum.: [Game] Black Jack [Game] Tower of Hanoi

26-08-2006, 14:27	#2 (permalink)
elysian Supermassive Registriert seit: Aug 2004 Ort: Frankfurt, Bornheim Beiträge: 861	Xervus, also solange der Kommunkkationskanal http bleibt, passiert sämtliche Übertragung grundsätzlich unverschlüsselt und somit unsicher. Sicher wird's erst mit SSL, sprich einer https-Verbindung. Cheers, Thomas. __________________ Personal » amenity*blogging » elysian.de » Flexpertise - Enterprise Flex Collaboration Networks » Xing » ColdFusion Community Everything Cairngorm » cairngormdocs.org

28-08-2006, 09:44	#3 (permalink)
messingfeld - Registriert seit: Jul 2003 Beiträge: 714	@elysian Das war glaube ich garnicht die Frage. @p-flash Irgendwie verstehe ich nicht was du machen willst. Welchen Sinn hat es das ein serverseitiges LogIn-Skript NUR "ok" oder "failed" zurück gibt? Was willst du in Flash NUR mit der Aussage "ok" bzw. "failed" machen? Ich hoffe wohl doch nicht das du soetwas machen willst: ActionScript: if(login=="ok") { // lade irgendeine Datei, die eigentlich geheim ist // springe zu einem Schlüsselbild, das eigentlich geheim ist } Da bringt dir ein LogIn nichts, die SWF kann man, wie du bereits andeutest, KOMPLETT auseinander nehmen. Was du, wie ich es aus der Ferne beurteilen kann, machen müsstest ist, bei jeder serverseitigen Abfrage, die LogIn - Daten (Username + Passwort, bzw. nur einen Hashcode) mitzusenden. Willst du z.B. einem User seine gespeicherten Daten präsentieren, könnte es so aussehen: ActionScript: var sndDaten = new LoadVars(); sndDaten.aktion = "meineDaten"; sndDaten.user = "p-flash"; sndDaten.pw = "***"; sndDaten.sendAndLoad("..."); Das PHP-Skript überprüft dann ob die LogIn-Daten korrekt sind und liefert je nach gewählter Aktion bestimmte Daten. Z.B. wenn alles KORREKT: PHP-Code: `<?xml version="1.0" encoding= "UTF-8" ?> <login> <aktion>meineDaten</aktion> <status>ok</status> <user> <name>p-flash</name> <userstatus>Routinier</userstatus> <alter></alter> <wohnort>*********</wohnort> </user> </login>` Wenn INKORREKT: PHP-Code: `<?xml version="1.0" encoding= "UTF-8" ?> <login> <aktion>meineDaten</aktion> <status>failed</status> </login>` In Flash, überprüfst du zwar jetzt auch den Status ("ok" oder "failed"), aber wenn alles "ok" ist, hast du schon die notwendigen Daten (Daten des Users). Also ist keine unsichere Abfrage mehr nötig. Die if-Abfrage ist also nur noch dazu da um dem User die richtige Ansicht zu zeigen. Entweder eine Übersicht seiner Daten oder das die LogIn-Daten falsch sind. Flash wird also nur noch zur Visualisierung benutzt. Wenn du dann auch die Übertragung schützen willst, die sonst generell im Klartext verläuft, kannst du elysian**'s Tipps zur Rate ziehen.

28-08-2006, 11:41	#4 (permalink)
elysian Supermassive Registriert seit: Aug 2004 Ort: Frankfurt, Bornheim Beiträge: 861	oha, sry fürs missverstehen... chers, thomas __________________ Personal » amenity*blogging » elysian.de » Flexpertise - Enterprise Flex Collaboration Networks » Xing » ColdFusion Community Everything Cairngorm » cairngormdocs.org

28-08-2006, 12:46	#5 (permalink)
p-flash Waffe==Verstand Registriert seit: Jul 2004 Ort: Düsseldorf Beiträge: 724	Jo, danke. Genau das war die Frage. Hört sich ziemlich sicher an. p-flash __________________ --------------------------------------- [Interaktiver Spielplan] [My Site V3] www.p-creations.com [My Forum] :.p-creations forum.: [Game] Black Jack [Game] Tower of Hanoi

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln