Idee für Sessionschutz eines Games...

BartTheDevil89 · 23.09.2007, 22:13

Hallo,

ich würde gern mal erfahren wollen ob ihre eine Idee für das habt, was ich euch gleich schreibe:

Also ich habe ein wbblite (Forensoftware). Dort eingebaut ist nun ein Gamesmenü, das Flashgames anbietet. Jetzt ist folgender Prozess wichtig:

Der User loggt sich ein (ohne Probleme), dann sucht er sich ein Game aus. Für dieses Game wird ein Eintrag in die Datenbank getätigt und das entsprechende Spiel dem User angezeigt. Wenn der User fertig mit spielen ist, findet sich im Spiel ein Link zum Übertragen der Punkt. Wenn der User den anklickt ruft das Spiel eine URL, zum Beispiel index.php?do=fertig&punkte=XXX. Diese Punkte möchte ich jetzt dem Eintrag in der Datenbank zuordnen.

Jetzt die Frage: Wie (Sessions, Datenbanksession, Refferer...?) stelle ich sicher, dass
1. ich die Punkte auch dem richtigen Eintrag aus der Datenbank zuordne
2. Die Punkte wirklich vom Spiel übersandt wurden und nicht mit einem Fakerformular, dass halt auch diesen Link dann aufruft, wenn das Spiel einmal gestartet wurde.

Habt ihr Ideen auf welche Weise man sowas am besten schützt?

Slava · 23.09.2007, 23:18

frage 1 kann ich nicht ganz nachvollziehen.
der Prinzip ist immer gleich, dass man ein Kriterium haben muss nach dem etwas eingetragen wird. zbs User_id oder was auch immer.

zu Frage 2 kann ich nur sagen, dass es die Möglichkeit gibt die session_id an ein flashfilm als parameter einzutragen. ein link mit dem punktzahl per GET zu übertragen finde ich falsch, da der angemeldeter Spieler auch ein falschen Punktzahl mit parametern übertragen kann.
Also auf POST umsteigen.
Am ende wird diese Kommunikation nicht wirklich eine Sicherheit bieten, da es immer noch möglich ist ein Flashfilm decompilieren.
Also ich behaupte, dass Spielentscheidungen in keinem Fall in Flash sondern auf dem Server ablaufen müssen und Flash kannst du nur als Client für den Spielablauf benutzen

BartTheDevil89 · 23.09.2007, 23:41

Ja das Problem ist, dass es nicht anders geht...die Games sind so fertig und da kann ich auch nichts dran ändern, weil ich nie eine fla bekomme, sondern immer nur swf.

Slava · 24.09.2007, 00:00

tja

dann bleibt nur was eigenes zu schreiben bzw die Entwickler um die Ähnderung zu bieten.

BartTheDevil89 · 24.09.2007, 00:02

Zitat:

Zitat von Slava

tja

dann bleibt nur was eigenes zu schreiben bzw die Entwickler um die Ähnderung zu bieten.

Hmh...ok aber dann die nächste Frage:

Wie könnte man es schaffen so ein System sicher zu machen, wenn man in die Games reinkommt also beim Übersenden was ändern könnte?

Zergling-new · 24.09.2007, 00:14

Garnicht. Das Flash liegt beim Client, der kann damit machen was er will, es spielen, es dekompilieren, das Flash antworten lassen, die Antwort selbst schicken, per POST oder GET. Somit hast du schon verloren. Du bist bestimmt nicht der erste der sich darüber Gedanken macht, aber ich denke da bist du in einem Flash-Forum einfach besser aufgehoben.

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Thema bewerten
Thema bewerten:

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
Suchbegriff von referer rausfiltern, oder andere Idee?	BartTheDevil89	PHP Tipps 2008	3	15.06.2008 17:15
Idee, aber nicht Umsatzbar!?	Kori	PHP Tipps 2007	2	22.12.2006 11:53
[Erledigt] Idee für einen visuellen Effekt		HTML, Usability und Barrierefreiheit	6	02.05.2006 21:56
Nur eine Idee ;-)	blinkster.de	Off-Topic Diskussionen	4	31.01.2006 17:58
Terminplan...idee zu umständlich?	Aris Sung	PHP Tipps 2007	1	14.12.2005 17:40
Erstmal nur eine Idee	blinkster.de	Beitragsarchiv	2	04.12.2005 15:36
Hat einer eine Idee (wg. Datumsauswahl im Formular)		PHP Tipps 2005	4	14.04.2005 17:02
[Browsergame]-Neue Idee		Beitragsarchiv	17	10.03.2005 03:11
[Erledigt] Online Games für eine Website?		Off-Topic Diskussionen	2	27.12.2004 01:46
Idee gesucht		PHP Tipps 2004-2	4	09.12.2004 08:15
Idee für die richtige Technik gesucht		HTML, Usability und Barrierefreiheit	2	29.10.2004 09:12
[Erledigt] Idee: Benchmark-Script schreiben um Webhoster zu vergleichen		PHP-Fortgeschrittene	3	12.10.2004 18:27
Brauche idee wie ich eine Aufgabe realisiere!		PHP Tipps 2004	14	07.10.2004 17:45
Usermanagement: Idee?		PHP-Fortgeschrittene	21	30.06.2004 15:55

23.09.2007, 22:13
BartTheDevil89 Erfahrener Benutzer Registriert seit: 09.05.2005 Beiträge: 561	Idee für Sessionschutz eines Games... Hallo, ich würde gern mal erfahren wollen ob ihre eine Idee für das habt, was ich euch gleich schreibe: Also ich habe ein wbblite (Forensoftware). Dort eingebaut ist nun ein Gamesmenü, das Flashgames anbietet. Jetzt ist folgender Prozess wichtig: Der User loggt sich ein (ohne Probleme), dann sucht er sich ein Game aus. Für dieses Game wird ein Eintrag in die Datenbank getätigt und das entsprechende Spiel dem User angezeigt. Wenn der User fertig mit spielen ist, findet sich im Spiel ein Link zum Übertragen der Punkt. Wenn der User den anklickt ruft das Spiel eine URL, zum Beispiel index.php?do=fertig&punkte=XXX. Diese Punkte möchte ich jetzt dem Eintrag in der Datenbank zuordnen. Jetzt die Frage: Wie (Sessions, Datenbanksession, Refferer...?) stelle ich sicher, dass 1. ich die Punkte auch dem richtigen Eintrag aus der Datenbank zuordne 2. Die Punkte wirklich vom Spiel übersandt wurden und nicht mit einem Fakerformular, dass halt auch diesen Link dann aufruft, wenn das Spiel einmal gestartet wurde. Habt ihr Ideen auf welche Weise man sowas am besten schützt?


Mister Ad PHP Code Flüsterer Registriert seit: 21.08.2005 Beiträge: 4682 PHP-Kenntnisse: Fortgeschritten

23.09.2007, 23:18
Slava Erfahrener Benutzer Registriert seit: 17.01.2006 Beiträge: 468	frage 1 kann ich nicht ganz nachvollziehen. der Prinzip ist immer gleich, dass man ein Kriterium haben muss nach dem etwas eingetragen wird. zbs User_id oder was auch immer. zu Frage 2 kann ich nur sagen, dass es die Möglichkeit gibt die session_id an ein flashfilm als parameter einzutragen. ein link mit dem punktzahl per GET zu übertragen finde ich falsch, da der angemeldeter Spieler auch ein falschen Punktzahl mit parametern übertragen kann. Also auf POST umsteigen. Am ende wird diese Kommunikation nicht wirklich eine Sicherheit bieten, da es immer noch möglich ist ein Flashfilm decompilieren. Also ich behaupte, dass Spielentscheidungen in keinem Fall in Flash sondern auf dem Server ablaufen müssen und Flash kannst du nur als Client für den Spielablauf benutzen __________________ Slava http://bituniverse.com

23.09.2007, 23:41
BartTheDevil89 Erfahrener Benutzer Registriert seit: 09.05.2005 Beiträge: 561	Ja das Problem ist, dass es nicht anders geht...die Games sind so fertig und da kann ich auch nichts dran ändern, weil ich nie eine fla bekomme, sondern immer nur swf.

24.09.2007, 00:00
Slava Erfahrener Benutzer Registriert seit: 17.01.2006 Beiträge: 468	tja dann bleibt nur was eigenes zu schreiben bzw die Entwickler um die Ähnderung zu bieten. __________________ Slava http://bituniverse.com

24.09.2007, 00:14
Zergling-new Erfahrener Benutzer Registriert seit: 21.05.2008 Beiträge: 9.937	Garnicht. Das Flash liegt beim Client, der kann damit machen was er will, es spielen, es dekompilieren, das Flash antworten lassen, die Antwort selbst schicken, per POST oder GET. Somit hast du schon verloren. Du bist bestimmt nicht der erste der sich darüber Gedanken macht, aber ich denke da bist du in einem Flash-Forum einfach besser aufgehoben.