Re: Aplikacja pod Win32/Linux i <-> zdalna baza lub PHP API. Jak chronic polaczenie przed podmiana danych?

eGospodarka.pl › Grupy › pl.comp.programming › Aplikacja pod Win32/Linux i <-> zdalna baza lub PHP API. Jak chronic polaczenie przed podmiana danych? › Re: Aplikacja pod Win32/Linux i <-> zdalna baza lub PHP API. Jak chronic polaczenie przed podmiana danych?

Data: 2010-02-11 20:16:03
Temat: Re: Aplikacja pod Win32/Linux i <-> zdalna baza lub PHP API. Jak chronic polaczenie przed podmiana danych?
Od: proglem <c...@s...net> szukaj wiadomości tego autora
[ pokaż wszystkie nagłówki ]
"WRonX" rozwiązał/a/o:
> Mam taka zagwozdke teoretyczna. Zalozmy, ze chce napisac aplikacje,
> ktora bedzie robila COS. Dla uproszczenia wywodu zalozmy, ze bedzie to
> jakas minigra. Calosc "gry" musi odbywac sie na maszynie lokalnej,
> wlacznie z liczeniem "punktow".
>
> W dowolnym momencie aplikacja ma miec mozliwosc aktualizacji ogolnej
> ilosci punktow zdobytych przez danego "gracza" (uzytkownika) przez
> wyslanie informacji o nowych punktach do serwera. Najlepiej przez
> wywolanie zdalnego skryptu PHP, ktory by te baze aktualizowal.
>
> No i teraz pytanie - jak zabezpieczyc sie przed nieuczciwymi graczami,
> ktorzy chcieliby sobie podmienic wysylana do serwera liczbe punktow?
>
> Zakladam, ze gracze nie beda dekompilowali aplikacji, bo jesli beda, to
> chyba nic nie pomoze :) Ale moga miec chyba dosyc latwy podglad tego, co
> aplikacja odbiera i wysyla (WireShark i wszystko jasne). Wiec nie moze
> to byc po prostu proste
> GET http://mojserwer/skrypt.php?uzytkownik=XYZ&dodaj_pun
kty=1234
>
> Czy przychodzi Wam do glowy jakiekolwiek sensowne rozwiazanie?
>
> Myslalem o tym, ze w momencie uruchomienia aplikacja moglaby sie laczyc
> z serwerem i odbierac jakis unikatowy ID, ktory pozniej by przetwarzala
> (zakladamy brak dekompilacji) np. algorytmem kodujacym wynik, gdzie
> kluczem kodowania bylby ten ID... ale to chyba troche za bardzo
> zamotane.
>
> Oczywiscie przesylanie punktow przez polaczenie z baza (osobne konto dla
> dodawania punktow, aby baza byla bezpieczna) jest tak samo narazone na
> ingerencje, wiec pozwole sobie pozostac chwilowo przy opcji PHP, chyba
> ze macie argumenty :)
kierunek próby zabezpieczenia zależy od przyjętej strategii postępowa-
nia:
?czy ma być tylko zabezpieczenie prawdziwości danych bez ich ukrywania
?czy ma być tylko ukrywanie danych z ufaniem ich prawdziwości.
a które z powyższych zależy również od postępowania w przypadku wykrycia
oszustwa; na pewno znajdzie się ktoś kto wykorzysta wszystkie dostępne
możliwości oszukania serwera, jeśli będzie tego potrzebować.
--
qo |) CPL<=dataDPL CPL==/>=codeDPL:conform'/nc';max=CPL! AV0ID bHp
_x/ , CPL<=TSS,gateDPL CPL>=/==dest_DPL:/(jmp&nc') ,RPL!- #GP -o0o
| ng __ -- __ -- __ -- __ -- __ -- __ -- __ -- __ -x86-, EV3RY o0o
,__ -- __ -- Current/Requested/DescriptorPrivilegeLevel C/R/DPL , d4y m:#=