On 11 Lut, 14:44, WRonX <w...@-...wronx.net> wrote:
[..]
> No i teraz pytanie - jak zabezpieczyc sie przed nieuczciwymi graczami,
> ktorzy chcieliby sobie podmienic wysylana do serwera liczbe punktow?
>
> Zakladam, ze gracze nie beda dekompilowali aplikacji, bo jesli beda, to
> chyba nic nie pomoze :) Ale moga miec chyba dosyc latwy podglad tego, co
> aplikacja odbiera i wysyla (WireShark i wszystko jasne). Wiec nie moze
> to byc po prostu proste
>    GEThttp://mojserwer/skrypt.php?uzytkownik=XYZ&dodaj
_punkty=1234
>
> Czy przychodzi Wam do glowy jakiekolwiek sensowne rozwiazanie?
>

Propozycja:

Serwer ma dobry generator liczb losowych, źródło entropii i tak dalej.
Generuje co jakiś czas (niezbyt długi!) nową parę kluczy (prywatny i
publiczny) do jakiegoś algorytmu asymetrycznego szyfrowania. Każdy
klient ma swój klucz, który odgrywa rolę ID. Serwer ogłasza klucz
publiczny. Klienci muszą mieć aktualny czas (zsynchronizowany mniej
więcej z serwerem). Każdy klient bierze swoją wiadomość, dokleja do
niej czas oraz swoje ID i szyfruje całość za pomocą publicznego klucza
serwera. Wysyła wiadomość zaszyfrowaną. Serwer deszyfruje wiadomość za
pomocą swojego prywatnego klucza i sprawdza czas. Jeśli czas bardzo
odbiega od aktualnego - uznaje to za formę ataku i ignoruje wiadomość.
Jeżeli czas jest OK, ale ID klienta się nie zgadza - to również jest
atak. Jeśli serwer odbiera za dużo ataków - zaczyna ignorować
wszystko. W żaden sposób nie odpowiada na żadną wiadomość, która nie
przeszła weryfikacji.

Inny wariant - klient generuje tylko "odcisk" wiadomości z czasem i z
ID. Do każdej wiadomości dołącza taki zaszyfrowany "odcisk". Wtedy
każdy może wiadomość przeczytać, ale nikt nie może jej sfałszować (to
jest tylko autentykacja).

Pozdrowienia,
Paweł Biernacki