Flash, параметры, безопасность

Question

Во Flash у меня есть возможность сохранять определенную информацию на сервере. Теперь проблема в том, что для этого пользователю необходимо пройти аутентификацию от имени администратора.

Я не могу использовать сеансы, поскольку, если вы работаете более 20 минут в приложении Flash, сеанс пропал.

Как я вижу, у меня есть 2 возможности: 1. Передача параметра (bIsAdmin) во Flash с веб-сайта. 2. Запустите запрос http-get, чтобы получить это значение (bIsAdmin) из обработчика ashx при запуске приложения, когда сеанс еще не закончился.

На мой взгляд, обе возможности не совсем безопасны ... Итак, какой из них безопаснее, 1 или 2? Или у кого-нибудь есть идея получше?

По моему мнению, 1 безопаснее, потому что с 2, вы можете просто переключаться между взломщиками пакетов, и Bang, вы администратор, с разрешением сохранить (или перезаписать, = удалить) что-нибудь.

Answer 1

Оба небезопасны. Анализируя Flash-код, любой пользователь может обнаружить наличие параметра blsAdmin и попытаться сгенерировать запрос для получения прав администратора.

Помните, что приложения Flash могут быть декомпилированы и проанализированы любым пользователем, использующим такие инструменты как Flasm или SWFDump .

Мое решение? Используйте сеансы для хранения прав администратора. Если время сеанса истекает через 20 минут, генерируйте запрос каждые 10 минут на фиктивную страницу на сервере, чтобы сохранить сеанс в живых, но это тоже плохая практика. Если вы являетесь администратором, вам не нужно оставлять приложение без присмотра в любой момент без выхода из системы, когда вы закончите его использовать.

Та Та,