MD5 über sich "selbst"

[ms_hh]

Moin Team,
ich würde gerne zur Laufzeit "über mich", also den Flashfilm eine MD5 Summe bilden lassen.

Kennt jemand einen "Workaround"? Oder ist das gar nicht machbar? Geht das vielleicht per Javascript?


Grüße aus dem regnerischen Hamburg.... *grml*
Markus

[sonar]

Es gibt schon einen MD5-Algorithmus in AS, den schlaue Menschen mal geschrieben haben, wenn es das is, was du suchst...
(hab ich allerdings grad nicht greifbar)

[ms_hh]

Zitat:

Zitat von sonar

Es gibt schon einen MD5-Algorithmus in AS, den schlaue Menschen mal geschrieben haben, wenn es das is, was du suchst...
(hab ich allerdings grad nicht greifbar)

Hi Sonar, das ist mir schon klar das es den gibt. Es geht aber darum, das ich in Flash gerne die MD5 Summe der SWF erstellen möchte - und das zur Laufzeit.

Also das geht nicht (beispiel):

PHP-Code:

myMD5 = md5(_root) 


Deswegen suche ich einen der mir vielleicht sagen kann, on und wie es möglich ist.

Danke
Markus

[elias]

Das wird nicht gehen.

[ms_hh]

Zitat:

Zitat von elias

Das wird nicht gehen.

Gar nicht, auch mit JS oder VB nicht? niemals?

.ms

[elias]

Deine Umgebung muss es dir ermöglichen das SWF in Rohform auszulesen, also
die Binärdaten. Das geht bis Dato nicht mit AS oder JS (VB kein plan).
Wenn du zur Laufzeit quasi direkt den Speicher hashen willst wirds noch
schwieriger, wenn nicht gar unmöglich.

Was du machen könntest wäre alle änderbaren Faktoren (Variablen,
Eigenschaften), in einen String zu packen und diesen zu Hashen. Das solltest
du aber nicht jedes Frame und nicht mit einer 20 MB Anwendung machen.

[elias]

Achso, wenn du das ganze als Sicherheitsfeature haben möchtest dann bringt
dir das rein garnichts diesen Hash vom Client aus zu erzeugen, da man immer
die Möglichkeit hat den erwarteten Hash direkt zurückzugeben. Du müsstest
direkt vom Server aus den Status "abfotografieren" können, was unmöglich ist.

[atothek]

es wäre der kontext interesant weshalb du das machen willst?
vielleicht kan man dir dann gezielter helfen

mfg
alex

[ms_hh]

Zitat:

Zitat von atothek

es wäre der kontext interesant weshalb du das machen willst?
vielleicht kan man dir dann gezielter helfen

mfg
alex

Hi Alex, wie elias schon richtig vermutet hatte, würde ich das ganz gerne für die "Sicherheit" benutzen. Könnte ich zur Laufzeit eine MD5 Summe von meiner SWF machen, könnte diese mit der auf dem Server verglichen werden. So könnte ich davon ausgehen, das die SWF/FLA nicht verändert wurde.
Das würde natürlich nur unterstüzend gemacht werden.

Gruß
Markus

[hgseib]

naja, tolle idee ;-)

jemand der das swf verändern kann, kann auch das ergebnis aus der MD5 summe fälschen, dessen programmteil dann ja auch in der swf liegt.

[elias]

Jup, genau so siehts aus.

[ms_hh]

Zitat:

Zitat von elias

Jup, genau so siehts aus.

fast.
Ich habe eine SWF wo die md5 Funktion implementiert ist. Diese SWF ist obfuscated. Meine "Main SWF", lädt die "md5.swf" und kann nun über "_level0" eine MD5-Summe bilden.

Zum Obfuscator. Ich habe bis jetzt noch keine "decompile" Software gefunden, die mir aus meinem Code "leserlichen" code macht.

Gruß
Markus

[elias]

Ist doch egal, ich kann dir doch meine eigene SWF unterjubeln. Ich brauch aus
deiner nur Pfade und Variablen, das kann ich über HTTP herausbekommen.

[ms_hh]

Zitat:

Zitat von elias

Ist doch egal, ich kann dir doch meine eigene SWF unterjubeln. Ich brauch aus
deiner nur Pfade und Variablen, das kann ich über HTTP herausbekommen.

Wieso Egal? Wenn ich im Server stehen habe, das die gültige MD5-Summe "abc123" ist, und der Client schickt dem Server nun eine "123ABC", ist das kann ich davon ausgehen, das die SWF nicht die ist, die es sein soll.

.ms

[hgseib]

also zum thema kopiersicherheit usw. daran sind schon klügere köpfe als wir gescheitert.

mal davon abgesehen, dass das swf sich nicht selbst auslesen kann, 'ich' sehe mir an, was dein original sendet/ bzw. senden würde und meine fälschung sendet genau das selbe.