Sécurisation des meilleurs scores d'un jeu flash

Signaler
Messages postés
69
Date d'inscription
jeudi 8 mai 2003
Statut
Membre
Dernière intervention
9 octobre 2005
-
Messages postés
9433
Date d'inscription
mardi 9 octobre 2001
Statut
Membre
Dernière intervention
13 avril 2007
-
Bonjour



auriez vous une solution pour sécuriser l'enregistrements des meilleurs d'un jeu en flash.

Peut-on par exemple savoir si c'est une flash qui a appelé le script php ? Ou sinon y a t-il d'autres solutions ?



Merci

9 réponses

Messages postés
9433
Date d'inscription
mardi 9 octobre 2001
Statut
Membre
Dernière intervention
13 avril 2007
8
Salut,



tu peux par exemple inclure dans l'url d'appel une variable X (dans ton
prog flash). Si cette variable X n'est pas présente, ça ne viendra a
priori pas du programme flash et donc il ne faudra pas
laisser passer, mais bon c'est contournable ce genre de protections.



Tu peux aussi contrôler via un htaccess que ton fichier est bien appelé
à partir de ton site et interdire tout accès à partir d'un site tiers
ou à partir d'un PC tiers.



a +

<hr style="width: 100%; height: 2px;">



<li>
Messages postés
69
Date d'inscription
jeudi 8 mai 2003
Statut
Membre
Dernière intervention
9 octobre 2005

oui en effet.

Pourriez vous me rappeler comment faire ce htaccess svp ?

Et pour la variable X, ça ne servirait à rien, il est très facile de décompiler un swf.
Messages postés
9433
Date d'inscription
mardi 9 octobre 2001
Statut
Membre
Dernière intervention
13 avril 2007
8
Tu mets ça dans un htaccess :



Options +FollowSymlinks

RewriteEngine on

RewriteCond %{HTTP_REFERER} !^$

RewriteCond %{HTTP_REFERER} !^http://(www\.)?adresse_de_ton_site.com(/)?.*$ [NC]

RewriteRule .*\.(php|php3|php4|php5|swf)$ - [F,NC]



Tu peux rajouter autant d'extensions que tu veux...



Tu places ce htaccess dans le répertoire contenant le fichier php et swf.



a ++






<li>
Messages postés
69
Date d'inscription
jeudi 8 mai 2003
Statut
Membre
Dernière intervention
9 octobre 2005

Merci ça marche très bien !

Mais attention, il faut modifier le code (je dis ça pour les autres qui liront ce message).

Il vaut mieux faire comme ceci :



RewriteEngine on

RewriteCond %{HTTP_REFERER} !^$

RewriteCond %{HTTP_REFERER} !^http://(www\.)?domaine\.com(/)?.*$ [NC]

RewriteRule (.*\.swf|fichier1\.php|fichier2\.php) - [F,L]



Sinon les visiteurs provenant d'autres sites et tombant sur une page php du site verra une page Forbidden.

Donc en gros ce script sert uniquement à :

- interdire d'autres sites d'afficher les flash de domaine.com (remarque : on peut le faire aussi pour les gif, jpg...)

- interdire fichier1.php, fichier2.php ... d'être chargés par d'autres
site (dans leur page ou par include). Ces fichiers sont les fichiers
utilisés par les flash du site, par exemple le script d'enregistrement
de records.



Malgré ce script, on peut quand même charger par exemple fichier1.php
en le tapant directement dans l'url, et là en entrant les variables
trouvée en décompilant le swf, on peut pirater les scores.

Si quelqu'un a une idée je suis preneur
Messages postés
9433
Date d'inscription
mardi 9 octobre 2001
Statut
Membre
Dernière intervention
13 avril 2007
8
Dans ce cas crypte l'ajout de scores.






<li>
Messages postés
69
Date d'inscription
jeudi 8 mai 2003
Statut
Membre
Dernière intervention
9 octobre 2005

ça ne servirait qu'à brouiller un peu les pistes.

J'explique : il suffirait d'extraire l'algo de cryptage de la f lash
(c'est très facile), et de l'éxecuter avec un autres scores.

Quelqu'un a une autres solution SVP ? Il n'y a donc aucun moyen de savoir quelle flash a appelé un script php ?
Messages postés
9433
Date d'inscription
mardi 9 octobre 2001
Statut
Membre
Dernière intervention
13 avril 2007
8
Par cookie ?



flash peut gérer les cookies il me semble, or un cookie ne peut être lu
que par le site qui l'a crée, donc avec flash tu crées un cookie qui
sera lu par PHP. Si il n'y est pas, le flash ne provient pas de ton
site. Evidemment, l'internaute doit accepter les cookies.



a +







<li>
Messages postés
69
Date d'inscription
jeudi 8 mai 2003
Statut
Membre
Dernière intervention
9 octobre 2005

ah c'est pas bête ça ^^

je vais y réfléchir
Messages postés
9433
Date d'inscription
mardi 9 octobre 2001
Statut
Membre
Dernière intervention
13 avril 2007
8





<li>