Aller au contenu

Interfacer flash et php


FiP_

Messages recommandés

Bonjour, j'ai en tête de me lancer dans la réalisation d'un jeu, en ligne, en flash, mais j'aimerai conserver les traitements en php. Le flash ne serait ici utilisé qu'en tant "qu'habillage". J'ai trouvé quelques sites qui parlent de l'échange de données entre flash et php, que ce soit par du xml ou par la methode POST d'un formulaire. Je me pose pourtant des questions en ce qui concerne la sécurité d'un tel mécanisme:

- les scripts php ne doivent pas pouvoir être éxécutés directements, sous peine de "gros bordel sur le site".. si un être malfaisant s'amuse à lancer des "creerUtilisateur.php"... :(

- le flash peut être téléchargé et décompilé :(

(note: vous pouvez m'arreter à tout moment si je dis des betises; je connais tres bien php mais flash/actionscript est nouveau pour moi... je ne devrais pas être trop perdu, ca ressemble à du C ou du PHP mais bon.)

Voila donc mon dilemne!

Si les scripts php générent des données sous format xml, qqun qui les appelle directement pourrait voir le fichier généré et obtenir des infos qu'il n'est pas sencé obtenir...

S'ils utilisent des paramétres POST, même soucis: qqun pourait faire un autre swf, voir même un simple html avec un formulaire, pour donner des ordres au script.

Et si je met, dans le php, une condition du genre "executer uniquement si $toto == 'machin'", en décompilant le flash le "méchant pirate" vera un truc dans le style

data.load("lib/script.php?mdp=machin")

:(

Voilaaaaaaaa.

flash

et php

sécurité.

le sujet est lancé.

Lien vers le commentaire
Partager sur d’autres sites

Tu est confronté au memes probleme de securité quand PHP ou ASP pur ... C'est a dire surveillé les entrées sorties de tesscripts en terme de variable exporté/importé ( typage etc ...). Et surtout tu a la meme confrontation en terme de faille devant le SQL injection qui rejoint le premier point que j'ai expliqué.

En clair si tu sais codé secu en PHP ou en ASP tu aura pas de probleme en interfacant a flash ou autre, par contre si tu est pas a jour en terme d'etat de l'art de la securité php ou asp tu risque de tomber dans un des nombreux pieges a débutant.

Lien vers le commentaire
Partager sur d’autres sites

ba disons que là y'a deux problémes, par rapport à un site uniquement en php:

1. le flash peut être téléchargé et décompilé sans grande difficulté

2. qqun pourrait "s'inserer" entre les deux et envoyer des données bidon au flash (ou au php)

A moins que... si j'arrive à m'assurer que les données proviennent bien de mon propre site, ca devrait aller non? Si un gugusse fait un formulaire sur un autre site, en envoyant des données sur mes scripts, s'ils sont configurés pour ignorer les appels exterieurs ca pourait aller.. ?

.htaccess?

Lien vers le commentaire
Partager sur d’autres sites

Détrompe toi! j'ai testé Sothink SWF Decompiler, et dit toi bien que l'on recupére tout! toutes les images, les sons, etc... Et le code et parfait, il est même identé. :)

Houla les zamis... Vous me faites peur... :-D

Je dois avouer que je suis tombé sur votre topic par hasard et que son titre a piqué ma curiosité...

Moi qui pensait que le flash était impossible à décompiler ou alors, très dégradé en img/img...

FiP_ ? Tu comptes tester ton outil sur un SWF Flash v8 ?

Et sinon, à la compilation, il n'y a pas d'options anti reverse-engineering ?

Lien vers le commentaire
Partager sur d’autres sites

ba donnez moi un swf, je testerai ce week end... Pour ce qui est de proteger le code, il me semble avoir vu des outils qui rendent le code illisible (remplacer les noms de fonctions, de classes, etc, par "0001", "0002".. ce genre de chose) mais bon. Ce n'est pas très élégant comme solution :)

edit: c'est vrai que si, en fait, on ne peut pas decompiler le flash, ca resoudrai peut etre certaines de mes aphrension en matiere de sécurité de echanges :)

Lien vers le commentaire
Partager sur d’autres sites

ba donnez moi un swf, je testerai ce week end...

Je travaille avec Flash 5... J'peut pas t'en filer :mdr:
Pour ce qui est de proteger le code, il me semble avoir vu des outils qui rendent le code illisible (remplacer les noms de fonctions, de classes, etc, par "0001", "0002".. ce genre de chose) mais bon. Ce n'est pas très élégant comme solution :)
Ben ça dépend... Si tu utilises cette outil avant la publication, c'est transparent pour toi... Et chiant pour les autres...

Cela existe pour brouiller le code de page HTML / Javascript... Bref tout ce qui arrive lisible sur le "client"... :D

Pour brouiller le flash... Je vois pas comment cela serait possible... :smack:

Lien vers le commentaire
Partager sur d’autres sites

Archivé

Ce sujet est désormais archivé et ne peut plus recevoir de nouvelles réponses.

×
×
  • Créer...