Bonjour, j'ai en tête de me lancer dans la réalisation d'un jeu, en ligne, en flash, mais j'aimerai conserver les traitements en php. Le flash ne serait ici utilisé qu'en tant "qu'habillage". J'ai trouvé quelques sites qui parlent de l'échange de données entre flash et php, que ce soit par du xml ou par la methode POST d'un formulaire. Je me pose pourtant des questions en ce qui concerne la sécurité d'un tel mécanisme:

- les scripts php ne doivent pas pouvoir être éxécutés directements, sous peine de "gros bordel sur le site".. si un être malfaisant s'amuse à lancer des "creerUtilisateur.php"... :(

- le flash peut être téléchargé et décompilé :(

(note: vous pouvez m'arreter à tout moment si je dis des betises; je connais tres bien php mais flash/actionscript est nouveau pour moi... je ne devrais pas être trop perdu, ca ressemble à du C ou du PHP mais bon.)

Voila donc mon dilemne!

Si les scripts php générent des données sous format xml, qqun qui les appelle directement pourrait voir le fichier généré et obtenir des infos qu'il n'est pas sencé obtenir...

S'ils utilisent des paramétres POST, même soucis: qqun pourait faire un autre swf, voir même un simple html avec un formulaire, pour donner des ordres au script.

Et si je met, dans le php, une condition du genre "executer uniquement si $toto == 'machin'", en décompilant le flash le "méchant pirate" vera un truc dans le style

data.load("lib/script.php?mdp=machin")

:(

Voilaaaaaaaa.

flash

et php

sécurité.

le sujet est lancé.

je suis en train de lire http://www.flash-france.com/

et s'ils parlent bien de méthode pour échanger des données PHP > flash et flash PHP, je ne trouve pas mention de mes questions de sécurité... (je continue à chercher)

Suis p'tet paranoïaque?

Tu est confronté au memes probleme de securité quand PHP ou ASP pur ... C'est a dire surveillé les entrées sorties de tesscripts en terme de variable exporté/importé ( typage etc ...). Et surtout tu a la meme confrontation en terme de faille devant le SQL injection qui rejoint le premier point que j'ai expliqué.

En clair si tu sais codé secu en PHP ou en ASP tu aura pas de probleme en interfacant a flash ou autre, par contre si tu est pas a jour en terme d'etat de l'art de la securité php ou asp tu risque de tomber dans un des nombreux pieges a débutant.

ba disons que là y'a deux problémes, par rapport à un site uniquement en php:

1. le flash peut être téléchargé et décompilé sans grande difficulté

2. qqun pourrait "s'inserer" entre les deux et envoyer des données bidon au flash (ou au php)

A moins que... si j'arrive à m'assurer que les données proviennent bien de mon propre site, ca devrait aller non? Si un gugusse fait un formulaire sur un autre site, en envoyant des données sur mes scripts, s'ils sont configurés pour ignorer les appels exterieurs ca pourait aller.. ?

.htaccess?

Les décompilation de swf en général il y a énormément de perte sur le script (car bien souvent ça décompile image par mage donc tout le script est absent) , maintenant peut être qu'il y a de nouveau logiciel plus performant dans ce domaine, mais je suis pas sur.

Détrompe toi! j'ai testé Sothink SWF Decompiler, et dit toi bien que l'on recupére tout! toutes les images, les sons, etc... Et le code et parfait, il est même identé. :)

Et ba, ça a bien évolué... Même un swf version Flash 8 ? (ça m'interesse car je suis en train de faire un site en Flash/XML)

Et ba, ça a bien évolué... Même un swf version Flash 8 ?

tu me met le doute là... disons qu'il y a encore moins d'un an je décompilais des trucs completement.

A reétudier donc.

Détrompe toi! j'ai testé Sothink SWF Decompiler, et dit toi bien que l'on recupére tout! toutes les images, les sons, etc... Et le code et parfait, il est même identé. :)

Houla les zamis... Vous me faites peur...

Je dois avouer que je suis tombé sur votre topic par hasard et que son titre a piqué ma curiosité...

Moi qui pensait que le flash était impossible à décompiler ou alors, très dégradé en img/img...

FiP_ ? Tu comptes tester ton outil sur un SWF Flash v8 ?

Et sinon, à la compilation, il n'y a pas d'options anti reverse-engineering ?

ba donnez moi un swf, je testerai ce week end... Pour ce qui est de proteger le code, il me semble avoir vu des outils qui rendent le code illisible (remplacer les noms de fonctions, de classes, etc, par "0001", "0002".. ce genre de chose) mais bon. Ce n'est pas très élégant comme solution :)

edit: c'est vrai que si, en fait, on ne peut pas decompiler le flash, ca resoudrai peut etre certaines de mes aphrension en matiere de sécurité de echanges :)

ba donnez moi un swf, je testerai ce week end...

Je travaille avec Flash 5... J'peut pas t'en filer

Pour ce qui est de proteger le code, il me semble avoir vu des outils qui rendent le code illisible (remplacer les noms de fonctions, de classes, etc, par "0001", "0002".. ce genre de chose) mais bon. Ce n'est pas très élégant comme solution :)

Ben ça dépend... Si tu utilises cette outil avant la publication, c'est transparent pour toi... Et chiant pour les autres...

Cela existe pour brouiller le code de page HTML / Javascript... Bref tout ce qui arrive lisible sur le "client"...

Pour brouiller le flash... Je vois pas comment cela serait possible...

>>>

http://www.flashincrypt.com/product_fr.htm <<<

Très intéressant ton lien !

Nous utilisons la technologie DMM (Modification dynamique de la mémoire) et la technologie d'obfuscation d'actionscript [...]

On en apprend tous les jours...