Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

  1. #1
    Futur Membre du Club
    Homme Profil pro
    Étudiant
    Inscrit en
    décembre 2017
    Messages
    10
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 36
    Localisation : France, Dordogne (Aquitaine)

    Informations professionnelles :
    Activité : Étudiant

    Informations forums :
    Inscription : décembre 2017
    Messages : 10
    Points : 6
    Points
    6

    Par défaut Protection swf avec token

    Bonjour à tous,

    je souhaiterai savoir s'il est possible de protéger un fichier SWF en s'inspirant de ces deux méthodes l'une utilisant le token dans une bdd et l'autre une variable de session.
    (Tout en sachant qu'elles ne sont pas infaillible, elles restent néanmoins une sécurité supplémentaire à l'encryptage et l'obfuscation)

    J'ai eu beau faire pas mal d'essaie, je n'ai pas réussi à faire afficher le SWF, la méthode avec une variable de session pour le token m’intéresse d'avantage.

    Merci d'avance pour vos avis et conseils et bonne fin de journée.

  2. #2
    Membre actif
    Femme Profil pro
    Autre
    Inscrit en
    janvier 2017
    Messages
    161
    Détails du profil
    Informations personnelles :
    Sexe : Femme
    Localisation : France, Nord (Nord Pas de Calais)

    Informations professionnelles :
    Activité : Autre

    Informations forums :
    Inscription : janvier 2017
    Messages : 161
    Points : 275
    Points
    275

    Par défaut

    Bonjour,
    je souhaiterai savoir s'il est possible de protéger un fichier SWF en s'inspirant de ces deux méthodes:
    Oui, cela doit fonctionner également avec un swf.

    (Tout en sachant qu'elles ne sont pas infaillible, elles restent néanmoins une sécurité supplémentaire à l'encryptage et l'obfuscation)
    C'est un plus, il s'agit de décourager le plus grand nombre en accumulant les obstacles.
    Je pense toutefois qu'on peut contourner facilement cette sécurité en créant un simple lien vers la page, puis en enregistrant la cible du lien (au lieu d'ouvrir la page) : à ce moment là, on peut voir le code html généré de la page avec le jeton, mais, le fichier php chargé de renvoyer le swf n'ayant pas encore été appelé, on peut taper l'url de ce fichier php dans le navigateur avec le jeton en GET et récupérer le swf.
    A voir comment mieux brouiller les pistes...

    la méthode avec une variable de session pour le token m’intéresse d'avantage.
    Dans l'exemple donné avec la session, il faut rajouter la suppression de la variable du jeton de la session pour qu'il ne soit valable qu'une fois.

    je n'ai pas réussi à faire afficher le SWF
    Une erreur dans le code ?

  3. #3
    Futur Membre du Club
    Homme Profil pro
    Étudiant
    Inscrit en
    décembre 2017
    Messages
    10
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 36
    Localisation : France, Dordogne (Aquitaine)

    Informations professionnelles :
    Activité : Étudiant

    Informations forums :
    Inscription : décembre 2017
    Messages : 10
    Points : 6
    Points
    6

    Par défaut

    Vraiment désolé de ne répondre que maintenant et merci beaucoup pour ta réponse Loralina. (J'étais en déplacement pour le travail.)

    J'ai pu regarder tout ça d'un peu plus près.

    - Pour le soucis de lecture j'avais fait une erreur dans le chemin du fichier swf.

    Donc teste des deux méthodes pour voir les avantages et inconvénients et au final je trouve que la méthode par enregistrement en BDD est plus intéressante. (Nul besoin de faire apparaître le nom du fichier dans l'URL, c'est un petit obstacle de plus.)

    Par sur chacune d'elles je tombe sur le même problème, comme tu le disais Loralina, il faut rajouter la suppression de la variable du jeton de la session pour qu'il ne soit valable qu'une fois.

    Donc pour la méthode avec session, j'ai rajouté:
    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    unset($_SESSION['tokenurl']);
    Et pour la méthode avec BDD:
    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    mysql_query("DELETE FROM ava_media_tokens WHERE token='$tokenurl'");
    Du coup cela fonctionne avec la suppression du jeton, très bien sur Chrome mais pas sur Edge.

    En réfléchissant un peu je me suis dit que le fichier swf n'avait peu être pas le temps de charger avant que le jeton ne soit supprimé, pourtant je pensais qu'avec l'emploi des paramètres "header()" ça devait fonctionner malgré tout...

    Alors j'ai rajouté un "sleep" de 5 secondes pour que ça fonctionne sur Edge, mais du coup on peut en faire des choses en 5 secondes... (Et j'ai pu récupérer mon swf dans ce délai via le navigateur)

    Remplacer "sleep" par quoi? La je ne vois pas du tout...

  4. #4
    Membre actif
    Femme Profil pro
    Autre
    Inscrit en
    janvier 2017
    Messages
    161
    Détails du profil
    Informations personnelles :
    Sexe : Femme
    Localisation : France, Nord (Nord Pas de Calais)

    Informations professionnelles :
    Activité : Autre

    Informations forums :
    Inscription : janvier 2017
    Messages : 161
    Points : 275
    Points
    275

    Par défaut

    Bonsoir,
    Je viens de tester sur Chrome et Edge.
    Si j'écris juste :
    Code html : Sélectionner tout - Visualiser dans une fenêtre à part
    <object type="application/x-shockwave-flash" width="500" height="400" data="test.php"></object>
    Sur Chrome, le fichier php est appelé une seule fois.
    Sur Edge, il est appelé deux fois.
    Le jeton étant supprimé à la première fois, alors le second appel ne renvoie pas le swf, d'où le fait que Edge n'affiche rien (dans la mesure où c'est le second appel qui est pris en compte au final).

    Si j'enlève l'attribut "data" et que j'écris :
    Code html : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    <object type="application/x-shockwave-flash" width="500" height="400">
    	<param name="movie" value="test.php">
    </object>
    Sur Chrome et Edge, le fichier php est appelé une seule fois.

    En supposant que votre problème soit similaire, ce serait donc là peut-être une solution (supprimer l'attribut "data").
    Il reste à voir l'importance de l'attribut "data" et à tester sur un maximum de navigateurs.
    Il pourrait être également pertinent de tester avec un script d'intégration comme "swfobject".

  5. #5
    Futur Membre du Club
    Homme Profil pro
    Étudiant
    Inscrit en
    décembre 2017
    Messages
    10
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 36
    Localisation : France, Dordogne (Aquitaine)

    Informations professionnelles :
    Activité : Étudiant

    Informations forums :
    Inscription : décembre 2017
    Messages : 10
    Points : 6
    Points
    6

    Par défaut

    Loralina merci beaucoup! Vraiment!!!

    Après test tout fonctionne correctement, mes flashvars aussi, donc pour le moment impeccable.

    Du coup je suis en train de regarder l'intégration swfobject ^^

    Merci encore et bonne journée à toi ainsi qu'au forum Developpez.

+ Répondre à la discussion
Cette discussion est résolue.

Discussions similaires

  1. Probleme de lecture de fichier swf avec c#
    Par Vince57 dans le forum Windows Forms
    Réponses: 4
    Dernier message: 14/06/2006, 15h18
  2. Problème protection répertoire avec .htaccess
    Par Silvia12 dans le forum Apache
    Réponses: 1
    Dernier message: 13/05/2006, 14h40
  3. [FLASH MX2004] *.swf avec fichiers externes
    Par TRiPoLYT dans le forum Flash
    Réponses: 18
    Dernier message: 27/04/2006, 17h59
  4. [Sécurité] [PHP5][.HTACCESS] Protection fichier avec .htaccess
    Par Righetto Dominique dans le forum Sessions
    Réponses: 3
    Dernier message: 29/03/2006, 00h24
  5. [VBA EXCEL] Protection feuille avec filtre auto
    Par mirumoto dans le forum Macros et VBA Excel
    Réponses: 2
    Dernier message: 16/01/2006, 11h48

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo