Question

Я слышал, что проверка жестко запрограммированного пароля во Flash в условиях большой безопасности запрещена, поскольку пользователи могут декомпилировать SWF и найти жестко запрограммированный пароль.Что меня интересует, так это возможность декомпилировать SWF, вносить изменения, перекомпилировать и затем вставлять обратно на веб-страницу?

Например:

Скажите, что из приложения FlashЯ передаю текущее имя пользователя веб-сервису и получаю список групп, к которым принадлежит пользователь.На основе этих групп отображается определенный контент.В основном это следующие шаги:

Передача имени пользователя веб-службе.
Получение списка групп обратно из веб-службы.
Отображение содержимого на основе этих групп.

Возможно ли, чтобы кто-то изменил это флэш-приложение, чтобы просто отображать весь контент независимо от групп, к которым он принадлежит?Примерно так:

Передать имя пользователя веб-службе.
Получить список групп обратно из веб-службы.
Отображение содержимого на основе этих групп.
Отображение всего содержимого

derobert · Answer 1 · 13 декабря 2010

Зачем им менять флэш-приложение, а не просто запрашивать веб-сервис напрямую?Но да, кто-то может изменить флэш-приложение.

edit: если вы говорите о отображаемом во флэш-приложении контенте (не контенте из веб-службы), то он может дополнительно выдать себя за веб-службу.SSL / TLS здесь не очень помогает (пользователь может просто принять недействительный сертификат или загрузить свой собственный ЦС).

Вы можете сделать так, чтобы этот случай работал, зашифровывая контент и имея сетьСлужба доставки соответствующих ключей шифрования.Конечно, после того, как ключ доставлен, он у пользователя: вы не можете безопасно отозвать доступ.

NotMe · Answer 2 · 21 декабря 2010

Могут ли они декомпилировать приложение flash?Да, довольно легко.

После декомпиляции могут ли они снять необходимость даже связываться с сервером для начала?Да, опять легко.

Могут ли они по существу стерилизовать ваше флеш-приложение так, чтобы оно показывало ВСЕ содержимое, не потрудившись получить список групп из вашего веб-сервиса?Опять же, легко.

Что делать дальше?

Приложение флэш не должно иметь весь контент, встроенный в его код.Вместо этого вы должны разрешить им входить в систему и доставлять в браузер только те части, для которых они авторизованы.

Tyler Eaves · Answer 3 · 13 декабря 2010

С атакой типа "человек посередине" возможно все. Безопасный способ сделать это - получить контент от веб-службы.

Flash-вопрос безопасности

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 3 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Flash-вопрос безопасности

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 3 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Нет похожих вопросов