Envoi en POST et sécurité...c'est fiable?Résolu

Question

Salut TLM,

ce matin j'me suis pos&#233; une question...on envoit des variables en POST pour &#233;viter qu'elles n'apparaissent dans l'URL et &#233;viter qu'on puisse les modifier. Mais on peut tr&#232;s bien d&#233;compiler mon animation et r&#233;cup&#233;rer le nom des diff&#233;rentes variables que je passe en POST, non?

Votre avis l&#224;-dessus?

@+! Samy

_benjy · Accepted Answer

il est clair que la solution https et la mieux

et nan en html de base rien n'est securis&#233; LOL ...

pour ma fonction de cryptage, elle crypte de chaine de char, selon une cl&#233; donn&#233;e



pour ton id&#233;e avec asp, c possible, et pour faie ca le mieux c une
petite table de donn&#233;es a cot&#233; avec les relations entre tes codes
produis et les prodiuts/prix

si t'en a pa bcp tu peux le faire en dure dans asp, au moin sles prix
en dure dans asp personne pourra les recup&#233;rer (et je pense que c le
prix que tu veux pas qui change LoL)

Flash sans Limites
_Benjy

pegase31 · Answer

r&#233;ponse : oui ,on peut !

Peg'

cs_goldenboy68 · Answer

De retour de vacances?



M'en doutais que c'&#233;tait possible! lol



la question &#233;tait plut&#244;t dans ma derni&#232;re phrase: "Votre avis l&#224;-dessus"



Comment on peut contourner le fait qu'on puisse d&#233;compiler et acc&#233;der aux variables envoy&#233;es en POST &#224; partir de Flash? 





J'avais pens&#233; &#224; qqch comme: j'envois une
variable &#224; un script ASP, et celui-ci redirige vers une page en
envoyant les bonnes variables en POST...l&#224; &#231;a doit pas &#234;tre
accessible...mais pas un peu tordue comme solution? Mais bon, faudrait
un maximum de s&#233;curit&#233; quand m&#234;me: c'est pour transmettre des infos de
paiement (objet, quantit&#233;, prix)



@+! Samy

_benjy · Answer

salut samy

content de pouvoir te repondre sur autre chose que du caf&#233; :)

il existe sur le march&#233; plusieur soft permentant d'encod&#233; les swf. Ils
fonctionnent tjs aussi bien apr&#232;s, mais j'ai tester avec plusieur
d&#233;compileur swf, ce que j'avais encod&#233;s &#233;t&#233; illisibles. 

J'ai retrouver sur mon DD un certain FlashInCrypt qui devais &#234;tre le fameux encryteur swf mais y'en a plein d'autres...

++

Flash sans Limites
_Benjy

cs_goldenboy68 · Answer

lol



Ok, mais je reste sceptique et h&#233;site &#224; transmettre ces donn&#233;es &#224;
partir de Flash (bien que le nombre de personnes qui puissent esp&#233;rer
falsifier des commandes soit limit&#233;, &#231;a m'emb&#234;terait un p'tit peu que
&#231;a se produise! lol



Bref, vais p't'&#234;tre me diriger vers un formulaire HTML classique avec des variables HIDDEN (c'est fiable au moins &#231;a?)



Sinon, on peut p't'&#234;tre se pencher sur la question de la relation
Flash-Paypal (c'est pour &#231;a toutes mes questions!), car pour l'instant
j'ai trouv&#233; aucune doc en fran&#231;ais (valable) et l'anglais, &#231;a me gonfle
(3 jours que j'en lis). Seuls sites int&#233;ressants: paypaldev.org et le
paypal developpers center (o&#249; on peut tester ses formulaires, boutons,
caddies...)



@+! Samy

_benjy · Answer

heuu hidden en html c juste pour ne pas voir le champ dans le
formulaire, on l'intercepte aussi bien que les autres... et ca n'a
riena  avoir avec la transmission post ou get.



question pour ton paypal, t'envois directement depuis flash a paypal, ou t'as un php entre les 2 ?

car si t'as un php entre les 2, j'ai une petite class d'encryption de
data en Fash (refaissable facilement en php) qui pourrait te permettre
de bien faire chier ce qui veullent te hack&#233; ton appli...



ps : les encrypteur swf c plutot efficaces...

Flash sans Limites
_Benjy

cs_goldenboy68 · Answer

Parce qu'en HTML non plus c'est pas s&#233;curis&#233;? 



Qu'est-ce que tu penses de ma solution? envoyer une variable &#224; une page
ASP (ex: produit=1) le script serveur va alors rediriger vers paypal
(avec produit=cr&#232;me solaire prix=20 devise=EUR...) sauf que je sais pas
encore comment on fait &#231;a! lol



Pour ta classe d'encryptage, &#231;a crypte quoi? le code source ou les
donn&#233;es saisies dans un formulaire Flash? Car pour moi j'aurais 5-6
boutons &#224; faire qui redirigeraient chacun vers une page Paypal
diff&#233;rente, donc tous les param&#232;tres seraient fixes et d&#233;j&#224; inclus dans
la source et transmis ensuite en POST...d'o&#249; mon interrogation si je
dois pas mettre ces param&#232;tres dans un script serveur.



J'ai encore jamais crypt&#233; des trucs (suis p-&#234; trop parano d'un coup
alors)...&#231;a me gonfle ce truc...&#231;a me coupe dans ma lanc&#233;e...vais finir
par acheter un serveur HTTPS et faire toutes les transactions sur mon
site! lol



@+! Samy

cs_goldenboy68 · Answer

J'ai d&#233;j&#224; une base de donn&#233;es, j'avais pr&#233;vu de rajouter une table
produits et une table transactions (pour faire les v&#233;rifications par la
suite), maintenant c'est vrai que pour 5-6 produits je pourrais le
faire en dur. Les donn&#233;es devraient pas trop changer et puis c'est pas
dur &#224; changer 5-6 valeurs.



Y'a le prix surtout, mais la quantit&#233;, la devise aussi! et puis suis
s&#251;r que y'aura toujours un p'tit malin qui trouverait autre chose, bref
reste plus qu'&#224; mettre en pratique, et ensuite passage &#224; l'&#233;tape
suivante: RECUPERER les variables de la transaction et faire le script
de traitement ... sacr&#233; bordel en perspective! lol



@+! Samy



PS: ah oui, ta classe de cryptage ne m'aurait pas servi pour l'occasion

Envoi en POST et sécurité...c'est fiable?

8 réponses

Votre réponse

Discussions similaires