Sécuriser une connexion swf/php

Question

Bonjour,

Voilà, je vous explique mon problème, j'ai besoins de sécuriser une connexion flash/php, j'utilise un loadvariablenum.. ou équivalent, et je transmet au fichier php des variables en POST. J'aimerai être sûr que les variables que j'envois proviennent bien du SWF et non d'un vulgaire fichier HTML qui tenterai d'imiter le formulaire transmis par le SWF, j'ai essayé avec une variable $_SERVER["HTTP_REFERER"], mais cela ne donne rien, et ma variable reste vide. Il me faudrait une solution fiable et surtout inimitable par un fichier HTML, j'espère que cela est possible.

Merci d'avance de votre réponse.
http://www.neoportail.fr.tc/

stefbuet · Answer

essais sa :
tu recupere une valeur en chargeant une page php dans flash.
l'autre page php qui reçois les infos que tu veux qu'elles viennes uniquement du swf, ne les accepte que si il ecoi la bonne valeur donné par la premier page php.

@+

cs_goldenboy68 · Answer

Impossible à sécuriser complètement à mon avis, le plus simple et le plus dissuasif serait de crypter ton anim, mais je couplerai avec d'autres petites astuces comme celle présentée par stefbuet (un peu légère à mon avis). Quelqu'un qui décompresse ton anim pourra voir quel fichier est appelé et ce qu'il renvoie, c'est ensuite assez simple de tromper la page PHP. Au passage, sache que le HTTP_REFERER est également modifiable et qu'une page peu très bien envoyer le HTTP_REFERER attendu par ta page PHP.

Bon courage!

stefbuet · Answer

oué, la crypter, mais bon, en general c'est payant les soft de cryptage.

@+

Neoziro · Answer

Je vais expliquer mon problème plus en détail, peut être y a t il une solution autre que celle que je propose.
Voilà, enfaite, j'ai un jeu, la personne joue, sa partie est retiré donc première connexion php, puis a la fin de la partie, ses gains lui sont attribués seconde connexion php. Seulement, il est très facile malgré toutes les protections de variables quelles quelles soient de prendre un programme qui analyse toutes les variables transmises et d'imiter la validation des gains. Je ne sais pas comment faire pour que la personne ne puissent avoir accès a ces variables, ou les faire de telle sorte qu'elles soient variables à chaque fois, en effet je ne peux contrôler la durée de la partie... ou de manière non précise... c'est donc un problème.. car quelqu'un s'y connaissant peut s'ajouter des gains sans jouer. Si vous avez une solution à me proposer, cela m'aiderait beaucoup !

Merci pour vos réponses ;)

stefbuet · Answer

Moi, aujourdui je vien de me dire, pk pas mettre un peu de flash dans mon site de jeux de strategie et je me suis posé le même probleme, et j'ai trouvé une solution partielle, mais pas encore essayé :
sur la page php qui integre l'animtion, tu créé une entré dans une base de donnée avec une clé que tu génére et le pseudo du gars, et tu mes ces deux variables dans la balise de flash.
donc ensuite kan flash appele la page php, il lui envoi le scorre ou les var que tu veu envoyé + la clé et le login.
la page php de son coté verifi que la clé-login est bien présente dans la base de donné, et si c le cas, rajoute les gain et suprimmer la l'entré de clé/login.
comme sa, l'anim devra etre obligatoirement dans sa page php pour valider les gains. comme le gars ne connai pas ton code source, ba il poura rien faire...

y a-t-il une faille dans mon resonement ?

@+

stefbuet · Answer

en plus claire :

page php de l'anim :
-genere une clé 
-chope le pseudo du gars
-fait une entré avec sa
-met les deux variable dans l'animation

page php pour ajouter le score :
-recupere les scrore et autre vars
-recupere le login/clé de l'anim donné par la page précédente
-si la clé/login exite, il ajoute le score et le reste et suprime l'entré clé/pseudo
-sinon il fé rien

@+

Neoziro · Answer

Il suffit de faire croire qu'on va jouer, on ne joue pas, on est donc dans la BDD, et après on envoi la requète, mais c'est une sécurité de plus c'est vrai :)

stefbuet · Answer

cad faire croire que l'on jou ?

@+

stefbuet · Answer

je ne vois pas ce que tu veux dire :
la page php qui ouvre l'anim ouvre une connection avec la bdd, puis la ferme.
on est plus dans la bdd aprés...
et la page qui ajoute le score execute seulement les roquettes qui sotndedant donc je ne vois vraiment pas ce que tu veux dire ?

@+

stefbuet · Answer

les roquettes ? mdr, les requettes dsl 

@+

Neoziro · Answer

Hé bien si tu lances le jeu sans jouer, et sans finir ta partie, puis qu'au lieu de finir, tu simules l'envoi via un fichier HTML, c'est fini...

stefbuet · Answer

a oué, en fait mon truc eviter juste que le gars chope l'animation et la lance plein de foi, mais pas kil envoi une grosse somme de point ^^
alors la, je ne vois pas, mais c'est forcement réalisable, les site genre prizze peuvent pas courir le risque

@+

stefbuet · Answer

tu as trouvé une solution ?

@+

Neoziro · Answer

Non, mais je cherche toujours ^^

stefbuet · Answer

Bon ben, après bcp de recherches, j'en suis arrivé a ce point :
Il est impossible d'empecher tous les trichuer experimenté de tricher, cependant, ont peu leur compliquer vraiment la tache en fesant des systeme de psycopate ^^ et plein de verifications.

Cependant, je vais me tourner vers la solution que je trouve la plus performante, un soft d'encryption (mais payant :s )
j'ai tester pour les url un cod ultra simpe :

adresse="[null monsite.com/monscript.php];
_root.texte.text=adresse;

avec un texte dynamique nomé texte

c'est transformer en 109 lignes de code
du type :
if (eval("\x01") == 861)
    {
        \x01 = eval("\x01") - 294;
        if (false)
        {
        }
        else
        {
            \x01 = eval("\x01") + 416;
        } // end else if
        
    } // end if
(des truc imcompreensible)

avec des function comme sa :
function &#x0;1;&#x0;2;()  {
...
}

et au total 23 erreurs, et aucune trace de l'url dans le fla decomprésé.
l'url ne se met donc meme pas dans le texte

je vas donc utiliser cela,

@++

Sécuriser une connexion swf/php

15 réponses

Votre réponse

Discussions similaires