Discussion :

[Lorenzo77]

salut les gars,


ca fait un bout de temps que je me pose cette question : comment être certain qu'une donnée X (recu sur un script coté serveur) provient bien d'un SWF (par exemple un jeu) sans qu'elle ait subit une modification ?

je m'explique :
imaginons que l'on fasse un jeu, que celui ci stocke sur un serveur le meilleur temps ou score (la donnée X) ... etc
comment être certain que cette donnée X n'a pas été modifié dans le SWF grâce a tous les programmes qui permettent de changer en temps réel les variables d'un SWF résidant en mémoire chez le client ... ou qu'elle n'a pas été envoyé directement depuis un petit script situé chez le client dans le but de tricher ou tromper le script serveur qui doit stocker cette donnée.

ca doit faire depuis la version 4 ou 5 de Flash que j'y pense mais sans réussir a trouver une solution qui permettrait de garantir l'intégrité de la donnée X ....



j'ai exploré plusieurs pistes :

1-les sessions -> ne permettent pas d'empêcher la modif de X, elles permettent juste d'être sur que X provient bien d'un client précis

2-encodage de la donnée -> pas assez solide vu que tout le code d'un SWF est très facilement accessible, puis reste le problème de la modification de X directement par un programme qui change les valeurs des variables en mémoire

3-modification aléatoire du nom de la variable stockant X dans le SWF -> idée stupide !

4-envoyer continuellement X au script serveur a chaque modification de sa valeur -> déjà mieux car le script serveur peut vérifier les écarts mais n'empêche pas complètement la triche (2) et demande en plus une connexion permanente entre le client et le serveur et rapide (genre xmlSocket) pour ne pas le saturer (lourd a mettre en place pour une simple vérif et requiert un serveur adapté)


vous avez des idées ou des solutions ?

[The_Pretender]

j'ai exploré plusieurs pistes :

1-les sessions -> ne permettent pas d'empêcher la modif de X, elles permettent juste d'être sur que X provient bien d'un client précis

2-encodage de la donnée -> pas assez solide vu que tout le code d'un SWF est très facilement accessible, puis reste le problème de la modification de X directement par un programme qui change les valeurs des variables en mémoire

3-modification aléatoire du nom de la variable stockant X dans le SWF -> idée stupide !

4-envoyer continuellement X au script serveur a chaque modification de sa valeur -> déjà mieux car le script serveur peut vérifier les écarts mais n'empêche pas complètement la triche (2) et demande en plus une connexion permanente entre le client et le serveur et rapide (genre xmlSocket) pour ne pas le saturer (lourd a mettre en place pour une simple vérif et requiert un serveur adapté)


vous avez des idées ou des solutions ?

Bonjour,

Je partirais sur de l'encodage de la donnée, avec du sha1 ou équivalent.
Tu demande la clé de cryptage à php, tu la stockes un temps très court, le temps de l'encodage de la donnée et tu effaces la clé de la mémoire résidente flash.

Cela devrait rendre ton application difficilement "piratable".

Sinon la solution 4 (envoie continuel au serveur) reste lourde mais est efficace point de vue sécurité.

[Lorenzo77]

rien d'autres ?
ce sont les autres pistes qui m'intéressent, je sais que celles que j'ai testé ne sont pas fiable ...