login in php... e poi ?

[poptart]

ciao ragazzi, il mio dubbio è il seguente :

se per esempio al primo frame della scena1 ho un sistema di login che effettua la verifica tramite php.
se username e password sono validi l'utente può accedere all'area riservata...
ma questa area riservata dove è opportuno metterla ?
voglio dire....se per esempio l'area riservata si trova alla scena2..quindi l'utente può accedere a questa scena solo se ha immesso user e password validi...
ma se questo utente scarica l'swf dalla cache, e lo importa in flash, non può vedere lo stesso i contenuti della scena 2?

dove va messa l'area riservata per essere più sicuri ?

grazie ciao

[poptart]

nessuno mi sa dare qualche consiglio ?

[iaco74]

Un swf dalla cache non solo si apre ma con programmi appositi si possono vedere anche i codici i tipi di font e altro ancora.
Io non so cosa c'e' in questa area riservata ma se vuoi esere sicuro sicuro secondo me (che pero' non sono un esperto) dovresti usare delle belle sessioni in php per creare un area riservata e poi a seconda dei contenuti ti conviene lasciar perdere flash e fare tutto in html/php che' e' piu' semplice.

[Broly]

Se hai paura che uno importi direttamente l'swf in Flash, puoi proteggerlo da importazione....però se uno è mediamente bravo riesce ad importarlo lo stesso

Non sei obbligato a fare tutto in html/php, e' importante però non passare all'swf dati sensibili, quindi user e password, o la pagina dove recarsi in caso di login avvenuto.

Di certo comunque non ti conviene mettere l'area riservata in una scena del filmato di login...al massimo va messa in un filmato esterno, nel qual caso non potrà certo essere aperto dalla cache da chi non conosce user e password

[poptart]

grazie,

adesso provo ad architettare qualcosa

comunque anche io sono del parere che certe cose è più naturale farle in html/php, ma questa volta mi serve farlo con flash...

grazie per l'aiuto

[iaco74]

l'idea di Broly forse e' la migliore;
nell'area riservata e' meglio non mettere dati sensibili nel swf.
Ma se proprio vuoi metterli in flash allora conviene caricare l'area riservata in un filmato flash esterno che viene caricato solo se l'utente e la password sono corretti.
Rimarebbe ad essere pignoli il problema che se un computer viene usato da piu' persone magari una che conosce le password e l'altra no rimarrebbe nella cache il filmato swf protetto.
Credo,ma non sono sicurissimo comunque che si possa aggirare questo ostacolo facendo ricaricare nello stesso target un filmato diverso alla chiusura dell'area, che dovrebbe sovrascrivere dato che si tratta dello stesso nome quello esistente in precedenza.

[poptart]

nell'area riservata tutti i dati si protrebbero prendere da un database, in modo che l'swf contiene solo la grafica...

e anche l'url del filmato esterno che conterrà l'area riservata lo si passa dalla pagina php, in modo tale che flash fara il loadmovie ma l'action non conterrà l'url del filmato ma solo una variabile..

in questo modo anche se qualcuno estrae il codice dal filmato principale non può sapere l'url.. e non può sapere dove si trova l'area riservata (anche se comunque si può sempre proteggere la directory dove si trova il filmato protetto tramite il server)

che ne dite ? (dando per assunto che quello che ho scritto sia comprensibile )

[iaco74]

direi che l'idea del db chiaramente e' ottima.
per l'url non c'e' problema se con php per esempio usi le sessioni anche sapendo l'url non posso aprire quella pagina,questo sempre che le sessioni siano state correttamente settate.
e' un lavorone,buon lavoro !

[poptart]

ma si posso mettere le sessioni in flash?
voglio dire impostarle in php, e poi fare in modo che se uno va ad aprire direttamente un filmato swf se non c'è una sessione attiva questo filmato non mostra nulla?

non ho ne la forza ne la voglia di farlo in questo momento
ma giusto per sapere... si può fare ?

[iaco74]

si puo' fare in modo che quella pagina si apra solo se l'utente e' lo stesso che e' stato autorizzato quando ha inserito usr e pwd.
Mi spiego meglio: se usi le sessioni quando l'utente accede alla pagina protetta con usr pwd , ammesso che l'utente sia autorizzato,
le sessioni (a seconda di come e' impostato il server) vengono memorizzate per esempio in una cartella tmp sul server e vengono memorizzate in un file di sessione in una variabile chiamata di solito sid (session id).
Se questa variabile poi tu fai in modo che sia richiesta all'apertura di tutte le pagine che vuoi proteggere se il sid non e' in memoria cioe' se usr e pwd non ci sono allora invece di mostrarti quella pagina fara' un altra azione che tu gli indicherai tipo un reindirizzamento ad un altra pagina.