Discussion :

[Garra]

bonjour à tous

je poste ceci ici, dans le forum général de Flash car bien qu'ayant travaillé sur Flash CS3 et AS3, je pense que mon problème concerne d'autres versions de Flash aussi.

Et la communication en sécurité entre Flash et le serveur.

En fait voilà la chose:
Nous avons réalisé en jeu Flash (un quiz) et nous nous sommes rendus compte de scores un peu trop bons pour être vrai... donc lorsque nous nous sommes rendus compte qu'un joueur avait fait un score impossible à faire un jouant sans tricher, nous l'avons contacté et finalement il nous a dit qu'il avait utilisé tout simplement le plugin firefox, urlParams pour connaître la valeur du POST envoyé par flash vers PHP et ainsi obtenir son bon score.

Pour ce plugin voir ceci : http://urlparams.blogwart.com/share/index.php


J'ai fais de recherches un peu partout ... surement pas assez bien, car je n'arrive pas à trouver comment sécuriser, crypter, etc, cette requête avec le serveur de sorte de ne pas permettre ce genre de problème.

je ne suis arrivée qu'à la conclusion d'utilisation de https (SSL payant) mais je voulais savoir si une autre solution existait à ce problème, surtout sur AS3, car c'est ce que nous avons utilisé pour ce jeu.

Toute aide serait la super bienvenue et je pense utile à d'autres developpeurs Flash/PHP/MYSQL.

Merci à tous

[Benarkhan]

Salut,

J'ai testé ce UrlParams sur mes appli Flash et il ne me ressort rien. Alors peut-etre que je m'y prends mal, je ne sais pas... Tu as réussi à en sortir quelque chose toi ? Ce gars là n'avait pas une version modifiée de UrlParams ? Quelle méthode utilises-tu pour communiquer avec php ?

[Destiny]

ce que tu peux faire c'est d'envoyer des données semi-cryptées. Par exemple si tu envois le nombre de seconde, tu envoies ton nombre de seconde x 154 + une lettre aléatoire et tout ceci tu le remodifi à l'insertion dans ta page php.

[Garra]

Merci à tout les deux!

concernant le cryptage:

ce que tu peux faire c'est d'envoyer des données semi-cryptées. Par exemple si tu envois le nombre de seconde, tu envoies ton nombre de seconde x 154 + une lettre aléatoire et tout ceci tu le remodifie à l'insertion dans ta page php.

si j'ai bien compris et je prie de me le confirmer, j'envoie :
- nombre de secondes
- nombre de secondes x un nombre choisi par nous toujours le même
- une lettre aléatoire

et si à l'arrivée les choses ne sont pas les mêmes..... c'est qu'il triche
C'est bien ça?

Je n'ai pas testé moi-même le urlParams donc je ne sais pas s'il a modifié quelque chose d'autre, mais il nous a dit qu'il avait utilisé un plugin firefox qui te donne les valeurs de POST et GET et c'est bien urlParams.

Voici un exemple de communication avec PHP sur AS3:
(ceci concerne une requete avec un retour depuis PHP mais pour le score c'est pareil)

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
 
var xmlURLVariables:URLVariables = new URLVariables();
xmlURLVariables.idusr = idusr;
xmlURLVariables.categorie = categorie;
xmlURLVariables.type = "1";
 
var xmlURLRequest:URLRequest = new URLRequest();
xmlURLRequest.method = URLRequestMethod.POST;
xmlURLRequest.data = xmlURLVariables;
xmlURLRequest.url = "php/questions.php";
 
var xmlURLLoader:URLLoader = new URLLoader();
xmlURLLoader.addEventListener(Event.COMPLETE, xmlCompleteHandler);
try {
	xmlURLLoader.load(xmlURLRequest);
    }
catch (error:SecurityError)
    {
	erreurJeu();
             return false;
    }

je vous remercie de votre aide précieuse!!!

[Destiny]

oui, en gros tu te fais un petit crytage toi même tu invents des points de contrôls que tu vérifies sous php.

C'est pas la meilleur des solutions j'en suis sur, mais ca évite déjà pas mal de petites manipulations trop facile à faire.

[Garra]

je te rémercie énormément!!!!!!

[Destiny]

de rien.
J'ai inventée cette solution en lisant ton post alors si tu as de meilleures idées ou si tu trouves quelque chose d'autre ca m'intéresserais bien d'être au courant parce que je vais aussi surement être confronté à ce problème prochainement.

Merci et bonne journée

[Garra]

bonjour

en fait nous avons décidé de faire autrement, c'est à dire de calculer le score côté serveur et pas que cette valeur soit passée par Flash.

Nous passons donc vers PHP toutes les questions posées et les reponses donc nous faisons un contrôle plus poussé sur l'identifiant de la question déjà pour voir si elle existe dans notre base et puis en comparant la réponse donnée et la réponse dans la base.

Comme ceci nous évitons de triches trop faciles.

Peut-être ajouterons nous ce que tu nous a conseillé mais pour l'instant nous faisons comme cela, c'est à dire tenter de faire que ce soit le serveur qui fasse tous les calculs de score et le maximum possible de contrôles.

Voili voilù

Merci !!!! et si nous utilisons d'autres solutions nous te tiendrons au courant.
Normalement cette semaine nous allons voir justement un expert en sécurité de ce genre (vous n'allez pas le croire mais il s'agit justement d'un des tricheurs.... bravo pour lui.... bonne publicitié ))

merci encore

[Garra]

Bonjour

Je n'ai pas oublié que je devais vous tenir au courant de notre RDV avec un expert en securité sauf que comme nous avons trouvé une soluss, finalement nous ne l'avons pas vu encore.

je suis désolée ce n'est pas moi qui décide mais mon client et c'est la réponse que j'ai eu de lui.

Par contre j'ai trouvé ce post qui me semble être super intéressant!!:

http://www.developpez.net/forums/showthread.php?t=74061

encore merci de vos aides et désolée de ne pas apporter moi mon grain utile!!!