[Erledigt] Post Variablen absichern

20.04.2005, 06:43

Hallo

Ich habe folgendes Problem:
Ein Flash Script ruft ein PHP Script auf und übergibt die Game-Id und die Highscore via Post.
Jetzt möchte ich das ganze absichern, d.h. dass nicht jemand sniffen kann was das Flash sendet und dann ein eigenes Formular erstellt, welches die Varibalen sendet (Highscore manipulation).
Ich hatte vor den $_SERVER[HTTP_REFERER] zu verwenden und nur meine URL zulassen, jedoch ist dieser ja nicht zuverlässig, da er leer sein kann oder auch gefälscht werden kann.
Hat jemand eine Idee wie ich trotzdem noch absichern könnte, dass kein fremdes Formular die Daten an das Highscorescript senden kann?

robo47 · 20.04.2005, 06:58

hmm vieleicht mal schauen inwiweit du ein zusammenspiel hinbekommst:

flash -> ruft php-script auf -> bekommt ne SESSIONID
flash-spiel läuft
flash -> speichert daten über phpscript und übergibt die SESSIONID mit, die wiederrum gültig sein muss.

http://www.phpfriend.de/ftopic21431.html

@mods bitte verschieben.

mfg
robo47

20.04.2005, 11:31

Das geht eben nicht, ich kann die Flash Files nicht bearbeiten. Ich könnte sie dekompilieren, jedoch wäre das sicherlich der falsche weg bei über 500 Games. Das Flash Script kann nur Game-ID und Highscore übergeben.

Ich hatte mir schon einen Weg mit Sessions ausgesucht, jedoch hatte ich keine Idee, da ich ja keine Weiteren Parameter übergeben kann.

Ich hatte schon die idee, irgendwie wenn er das Spiel startet etwas zu merken, und dann wenn die Higscore geschrieben wird, dieses zu prüfen, somit kann er nur Higscores SPeichern, von einem Spiel, welches er gerade gespielt hat. Aber somit kann er auch das Spiel starten, sein Formular aufrufen und genau in diesem Spiel die Highscores dennoch manipulieren.

robo47 · 20.04.2005, 11:32

tja wenn du keinen zugriff auf die flashfiles hast, dann frag ich mich was an der ganzen sache überhaupt legal ist, normalerweise schreibt man seine Sachen halt sauber und wenn das nicht geht muss man mit der unsicherheit leben.

mfg
robo47

20.04.2005, 11:37

Ja die Sache ist legal. Diejenigen, welche die Games programmieren, verwenden die gleichen (meist jedenfalls) Parameter, und das PHP-Script ist auch meist dasselbe. Somit kann man mit einer Allgemein Funktion für fast alle Games die Higscore speichern.

Und mit der Unsicherheit leben, klar könnte man das, aber ist nicht gerade die Lösung eines Problemes das interessante, und nicht einfach zu sagen, "wenn das nicht geht muss man mit der unsicherheit leben"? Gibt es nichts ähnliches wo man den Refer auswerten kann? Etwas zuverlässiges?

robo47 · 20.04.2005, 11:47

Wer Sicherheit bei der Übermittelung von Daten will, muss eben auf beiden Seiten eine dementsprechende Ausgangsbasis schaffen, wie wärs einfach mal mit den Entwicklern selbst zu reden? Fragen kostet ja nichts ob nicht in irgendeiner Form interesse besteht, eine möglichkeit zu hinterlegen das ganze Highscore-zeugs sicherer zu machen, indem man eben über Sessions und/oder ähnliches was macht. Ich glaube nicht dass die da sonderlich abgeneigt wären, wenn ihnen da jemand Vorschläge unterbreitet, bzw. ihnen hilft sie umzusetzen.
Aber es ist halt egal was es ist, wenn du im Flash nichts hinterlegen kannst, über das du etwas zusicherst, dann bringt der rest recht wenig.

Ich mein was bringt mit ne Tür wenn links und rechts davon keine Mauer steht? :P

mfg
robo47

20.04.2005, 11:53

Ja das wäre sicherlich der eifnachste Weg mit den Entwicklern etwas zu vereinbaren. Diese Lösung wäre sicher die beste, aber ich kann doch nicht bei über 300 Entwicklern anfragen ob sie mir das Flash File anpassen?

Und das mit der Session ID, ich kann ja auch einfach den Verkehr absniffen, dann bekomme ich die Session ID auch mit über, wenn sie dem Flashfile übergeben wird. Diese kann ich ja dann auch mittels der Form übergeben wie es das FLash File tut, und somit würde die Session-ID nicht weiterhelfen.

Und wenn ich das Form in gleichen Browserfenster aufrufe, dann besteht meine Session ja auch noch, also ist das keine wirklich sicherere Lösung, oder sehe ich das falsch?

robo47 · 20.04.2005, 11:58

Zitat:

Zitat von sky-base

Ja das wäre sicherlich der eifnachste Weg mit den Entwicklern etwas zu vereinbaren. Diese Lösung wäre sicher die beste, aber ich kann doch nicht bei über 300 Entwicklern anfragen ob sie mir das Flash File anpassen?

Und das mit der Session ID, ich kann ja auch einfach den Verkehr absniffen, dann bekomme ich die Session ID auch mit über, wenn sie dem Flashfile übergeben wird. Diese kann ich ja dann auch mittels der Form übergeben wie es das FLash File tut, und somit würde die Session-ID nicht weiterhelfen.

Und wenn ich das Form in gleichen Browserfenster aufrufe, dann besteht meine Session ja auch noch, also ist das keine wirklich sicherere Lösung, oder sehe ich das falsch?

klar, weil auch jeder sich hinhockt und die Session-id absnifft omg wo lebst du?

die SESSION-ID oder was auch immer für eine ID, sollte sich das flashscript eben selbst beschaffen, nicht im quelltext übergeben werden, das wäre schwachfug :P

eine möglichkeit das ganze schon etwas einfacher zu machen wäre die kompletten Flashsachen nur über ein login zugänglich zu machen und dann dieses login und alles über sessions realisiert, das script was die highscore annimtm überprüft dann halt ob der user eingerichtet ist etc. das ist für 99% aller 08/15-highscorefaker ein erstmal unumgängliches system denke ich :P

mfg
robo47

fantast · 20.04.2005, 12:26

robo denk mal kurz nach. ich kann einfach mein ethereal anschmeissen, waehrend das flash mit dem server kommuniziert, schon hab ich ne gueltige sessionid. die passende ip dazu hab ich auch, was hindert mich einfach selbst nen post hinzuschicken, mit dem ich vorne an den highscores waere.
ich wuerde mal fast behaupten ohne ssl laefut hier nix. und das waere ziemlich umstaendlich. flash unterstuetzt das wahrscheinlich auch nich.
du koenntest den highscore mit einem nich ganz so komplizierten algoithmus verschuesseln, aber auch sowas kann geknackt werden. wuerde dich aber zunaechst durchaus weiterbringen. erfordert aber ebenfalls arbeit an den spielen selbst. mit nur diesen beiden daten, die du jetzt bekommst kannst du kein bisschen sicherheit erzeugen !

Waq · 20.04.2005, 13:21

SSL muss es nicht direkt sein, Verschlüsselt aber natürlich schon. Flash liegt ja nicht direkt im Quellcode beim Client, so dass ein in Flash implementierter Verschlüsselungsalgorithmus erstmal verborgen und soweit sicher bleiben sollte.

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Thema bewerten
Thema bewerten:

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
Übergeben von Variablen an in PHP eingebundenes Perl-Script	shredder01	PHP Tipps 2008	3	04.04.2008 09:25
mehre variablen per post übersenden	obi	HTML, Usability und Barrierefreiheit	5	19.07.2007 23:03
Teil einer Variablen mit einer Variablen ersetzen ?	simsalabim	PHP Tipps 2007	11	20.03.2007 20:36
POST Variablen vortäschen	R4v3r	PHP Tipps 2007	8	22.12.2006 16:51
Alle Variablen die mit POST übergeben wurden auflisten	d-81	PHP Tipps 2006	3	12.10.2006 15:23
Variablen an include/require/readfile... per POST übergeben		PHP Tipps 2006	1	09.02.2006 18:38
Variablen über Post senden	FireFIghter	PHP Tipps 2005-2	2	06.09.2005 20:37
eilig: alle mit POST übertragenen variablen auslesen		PHP Tipps 2005-2	3	01.09.2005 15:52
Variablen werden per post nicht übergeben	sinai	PHP Tipps 2005-2	9	12.08.2005 10:04
5 gleiche Post Variablen auffangen	Ypsillon	PHP Tipps 2005	3	11.05.2005 11:25
Variablen übergeben bzw. auslesen?		PHP Tipps 2005	4	30.01.2005 03:56
POST Variablen auf Gültigkeit prüfen	Ypsillon	PHP Tipps 2005	22	24.01.2005 21:59
post variablen vorgaukeln		PHP-Fortgeschrittene	4	11.01.2005 15:21
Variablen via POST	Skazi	PHP Tipps 2004-2	10	06.11.2004 17:31
Funktion die in Post Variablen speichert?		PHP Tipps 2004	15	05.07.2004 21:11

20.04.2005, 06:43
Gast Beiträge: n/a	[Erledigt] Post Variablen absichern Hallo Ich habe folgendes Problem: Ein Flash Script ruft ein PHP Script auf und übergibt die Game-Id und die Highscore via Post. Jetzt möchte ich das ganze absichern, d.h. dass nicht jemand sniffen kann was das Flash sendet und dann ein eigenes Formular erstellt, welches die Varibalen sendet (Highscore manipulation). Ich hatte vor den $_SERVER[HTTP_REFERER] zu verwenden und nur meine URL zulassen, jedoch ist dieser ja nicht zuverlässig, da er leer sein kann oder auch gefälscht werden kann. Hat jemand eine Idee wie ich trotzdem noch absichern könnte, dass kein fremdes Formular die Daten an das Highscorescript senden kann?


Mister Ad PHP Code Flüsterer Registriert seit: 21.08.2005 Beiträge: 4682 PHP-Kenntnisse: Fortgeschritten

20.04.2005, 06:58
robo47 Moderator Registriert seit: 03.09.2004 Beiträge: 11.792 PHP-Kenntnisse: Fortgeschritten	hmm vieleicht mal schauen inwiweit du ein zusammenspiel hinbekommst: flash -> ruft php-script auf -> bekommt ne SESSIONID flash-spiel läuft flash -> speichert daten über phpscript und übergibt die SESSIONID mit, die wiederrum gültig sein muss. http://www.phpfriend.de/ftopic21431.html @mods bitte verschieben. mfg robo47 __________________ robo47.net - Blog, Codeschnipsel und mehr \| Caching-Klassen und Opcode Caches in php \| Robo47 Components - PHP Library extending Zend Framework

20.04.2005, 11:31
Gast Beiträge: n/a	Das geht eben nicht, ich kann die Flash Files nicht bearbeiten. Ich könnte sie dekompilieren, jedoch wäre das sicherlich der falsche weg bei über 500 Games. Das Flash Script kann nur Game-ID und Highscore übergeben. Ich hatte mir schon einen Weg mit Sessions ausgesucht, jedoch hatte ich keine Idee, da ich ja keine Weiteren Parameter übergeben kann. Ich hatte schon die idee, irgendwie wenn er das Spiel startet etwas zu merken, und dann wenn die Higscore geschrieben wird, dieses zu prüfen, somit kann er nur Higscores SPeichern, von einem Spiel, welches er gerade gespielt hat. Aber somit kann er auch das Spiel starten, sein Formular aufrufen und genau in diesem Spiel die Highscores dennoch manipulieren.

20.04.2005, 11:32
robo47 Moderator Registriert seit: 03.09.2004 Beiträge: 11.792 PHP-Kenntnisse: Fortgeschritten	tja wenn du keinen zugriff auf die flashfiles hast, dann frag ich mich was an der ganzen sache überhaupt legal ist, normalerweise schreibt man seine Sachen halt sauber und wenn das nicht geht muss man mit der unsicherheit leben. mfg robo47 __________________ robo47.net - Blog, Codeschnipsel und mehr \| Caching-Klassen und Opcode Caches in php \| Robo47 Components - PHP Library extending Zend Framework

20.04.2005, 11:37
Gast Beiträge: n/a	Ja die Sache ist legal. Diejenigen, welche die Games programmieren, verwenden die gleichen (meist jedenfalls) Parameter, und das PHP-Script ist auch meist dasselbe. Somit kann man mit einer Allgemein Funktion für fast alle Games die Higscore speichern. Und mit der Unsicherheit leben, klar könnte man das, aber ist nicht gerade die Lösung eines Problemes das interessante, und nicht einfach zu sagen, "wenn das nicht geht muss man mit der unsicherheit leben"? Gibt es nichts ähnliches wo man den Refer auswerten kann? Etwas zuverlässiges?

20.04.2005, 11:47
robo47 Moderator Registriert seit: 03.09.2004 Beiträge: 11.792 PHP-Kenntnisse: Fortgeschritten	Wer Sicherheit bei der Übermittelung von Daten will, muss eben auf beiden Seiten eine dementsprechende Ausgangsbasis schaffen, wie wärs einfach mal mit den Entwicklern selbst zu reden? Fragen kostet ja nichts ob nicht in irgendeiner Form interesse besteht, eine möglichkeit zu hinterlegen das ganze Highscore-zeugs sicherer zu machen, indem man eben über Sessions und/oder ähnliches was macht. Ich glaube nicht dass die da sonderlich abgeneigt wären, wenn ihnen da jemand Vorschläge unterbreitet, bzw. ihnen hilft sie umzusetzen. Aber es ist halt egal was es ist, wenn du im Flash nichts hinterlegen kannst, über das du etwas zusicherst, dann bringt der rest recht wenig. Ich mein was bringt mit ne Tür wenn links und rechts davon keine Mauer steht? :P mfg robo47 __________________ robo47.net - Blog, Codeschnipsel und mehr \| Caching-Klassen und Opcode Caches in php \| Robo47 Components - PHP Library extending Zend Framework

20.04.2005, 11:53
Gast Beiträge: n/a	Ja das wäre sicherlich der eifnachste Weg mit den Entwicklern etwas zu vereinbaren. Diese Lösung wäre sicher die beste, aber ich kann doch nicht bei über 300 Entwicklern anfragen ob sie mir das Flash File anpassen? Und das mit der Session ID, ich kann ja auch einfach den Verkehr absniffen, dann bekomme ich die Session ID auch mit über, wenn sie dem Flashfile übergeben wird. Diese kann ich ja dann auch mittels der Form übergeben wie es das FLash File tut, und somit würde die Session-ID nicht weiterhelfen. Und wenn ich das Form in gleichen Browserfenster aufrufe, dann besteht meine Session ja auch noch, also ist das keine wirklich sicherere Lösung, oder sehe ich das falsch?

20.04.2005, 12:26
fantast Erfahrener Benutzer Registriert seit: 14.01.2004 Beiträge: 2.543	robo denk mal kurz nach. ich kann einfach mein ethereal anschmeissen, waehrend das flash mit dem server kommuniziert, schon hab ich ne gueltige sessionid. die passende ip dazu hab ich auch, was hindert mich einfach selbst nen post hinzuschicken, mit dem ich vorne an den highscores waere. ich wuerde mal fast behaupten ohne ssl laefut hier nix. und das waere ziemlich umstaendlich. flash unterstuetzt das wahrscheinlich auch nich. du koenntest den highscore mit einem nich ganz so komplizierten algoithmus verschuesseln, aber auch sowas kann geknackt werden. wuerde dich aber zunaechst durchaus weiterbringen. erfordert aber ebenfalls arbeit an den spielen selbst. mit nur diesen beiden daten, die du jetzt bekommst kannst du kein bisschen sicherheit erzeugen ! __________________ Was ist validität?

20.04.2005, 13:21
Waq Erfahrener Benutzer Registriert seit: 15.08.2004 Beiträge: 2.473	SSL muss es nicht direkt sein, Verschlüsselt aber natürlich schon. Flash liegt ja nicht direkt im Quellcode beim Client, so dass ein in Flash implementierter Verschlüsselungsalgorithmus erstmal verborgen und soweit sicher bleiben sollte. __________________ mod = master of disaster