Discussion :

[Dec24300]

Bonjour à tous,

je souhaiterai savoir s'il est possible de protéger un fichier SWF en s'inspirant de ces deux méthodes l'une utilisant le token dans une bdd et l'autre une variable de session.
(Tout en sachant qu'elles ne sont pas infaillible, elles restent néanmoins une sécurité supplémentaire à l'encryptage et l'obfuscation)

J'ai eu beau faire pas mal d'essaie, je n'ai pas réussi à faire afficher le SWF, la méthode avec une variable de session pour le token m’intéresse d'avantage.

Merci d'avance pour vos avis et conseils et bonne fin de journée.

[Loralina]

Bonjour,

je souhaiterai savoir s'il est possible de protéger un fichier SWF en s'inspirant de ces deux méthodes:

Oui, cela doit fonctionner également avec un swf.

(Tout en sachant qu'elles ne sont pas infaillible, elles restent néanmoins une sécurité supplémentaire à l'encryptage et l'obfuscation)

C'est un plus, il s'agit de décourager le plus grand nombre en accumulant les obstacles.
Je pense toutefois qu'on peut contourner facilement cette sécurité en créant un simple lien vers la page, puis en enregistrant la cible du lien (au lieu d'ouvrir la page) : à ce moment là, on peut voir le code html généré de la page avec le jeton, mais, le fichier php chargé de renvoyer le swf n'ayant pas encore été appelé, on peut taper l'url de ce fichier php dans le navigateur avec le jeton en GET et récupérer le swf.
A voir comment mieux brouiller les pistes...

la méthode avec une variable de session pour le token m’intéresse d'avantage.

Dans l'exemple donné avec la session, il faut rajouter la suppression de la variable du jeton de la session pour qu'il ne soit valable qu'une fois.

je n'ai pas réussi à faire afficher le SWF

Une erreur dans le code ?

[Dec24300]

Vraiment désolé de ne répondre que maintenant et merci beaucoup pour ta réponse Loralina. (J'étais en déplacement pour le travail.)

J'ai pu regarder tout ça d'un peu plus près.

- Pour le soucis de lecture j'avais fait une erreur dans le chemin du fichier swf.

Donc teste des deux méthodes pour voir les avantages et inconvénients et au final je trouve que la méthode par enregistrement en BDD est plus intéressante. (Nul besoin de faire apparaître le nom du fichier dans l'URL, c'est un petit obstacle de plus.)

Par sur chacune d'elles je tombe sur le même problème, comme tu le disais Loralina, il faut rajouter la suppression de la variable du jeton de la session pour qu'il ne soit valable qu'une fois.

Donc pour la méthode avec session, j'ai rajouté:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

unset($_SESSION['tokenurl']);

Et pour la méthode avec BDD:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

mysql_query("DELETE FROM ava_media_tokens WHERE token='$tokenurl'");

Du coup cela fonctionne avec la suppression du jeton, très bien sur Chrome mais pas sur Edge.

En réfléchissant un peu je me suis dit que le fichier swf n'avait peu être pas le temps de charger avant que le jeton ne soit supprimé, pourtant je pensais qu'avec l'emploi des paramètres "header()" ça devait fonctionner malgré tout...

Alors j'ai rajouté un "sleep" de 5 secondes pour que ça fonctionne sur Edge, mais du coup on peut en faire des choses en 5 secondes... (Et j'ai pu récupérer mon swf dans ce délai via le navigateur)

Remplacer "sleep" par quoi? La je ne vois pas du tout...

[Loralina]

Bonsoir,
Je viens de tester sur Chrome et Edge.
Si j'écris juste :

Code html :

Sélectionner tout - Visualiser dans une fenêtre à part

<object type="application/x-shockwave-flash" width="500" height="400" data="test.php"></object>

Sur Chrome, le fichier php est appelé une seule fois.
Sur Edge, il est appelé deux fois.
Le jeton étant supprimé à la première fois, alors le second appel ne renvoie pas le swf, d'où le fait que Edge n'affiche rien (dans la mesure où c'est le second appel qui est pris en compte au final).

Si j'enlève l'attribut "data" et que j'écris :

Code html :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
<object type="application/x-shockwave-flash" width="500" height="400">
	<param name="movie" value="test.php">
</object>

Sur Chrome et Edge, le fichier php est appelé une seule fois.

En supposant que votre problème soit similaire, ce serait donc là peut-être une solution (supprimer l'attribut "data").
Il reste à voir l'importance de l'attribut "data" et à tester sur un maximum de navigateurs.
Il pourrait être également pertinent de tester avec un script d'intégration comme "swfobject".

[Dec24300]

Loralina merci beaucoup! Vraiment!!!

Après test tout fonctionne correctement, mes flashvars aussi, donc pour le moment impeccable.

Du coup je suis en train de regarder l'intégration swfobject ^^

Merci encore et bonne journée à toi ainsi qu'au forum Developpez.