Mi sono accorto da un paio di giorni che qualcuno mi ha decompilato i file swf e ha trovato gli url delle pagine asp che gestiscono i vari database.La cosa che mi ha scocciato di più è stato il tentativo ripetuto da parte di questo personaggio di accedere all'area riservata del sito, quella che gestisce le news, la newsletter le statistiche ecc. .
In poche parole ha decompilato il file swf "login" e ha trovato gli indirizzi delle pagine asp.
A questo punto vorrei dare un consiglio a tutti quelli che come me si sono avvicinati da poco a flash.Ho notato molti esempi scaricabili di FLA che gestiscono password dove la password stessa si trova all'interno del FLA oppure di un file txt.Bene ci volgiono circa 10 secondi a fregarvi la password ed accedere alle aree riservate del sito.
Io ho fatto così:con un sendandload mando username e password ad una pagina asp che confronta il dato in un database access quindi mi da una risposta.A questo punto viene creata una variabile di sessione e con un geturl mi apre la pagina del pannello di controllo.Mi sembra abbastanza sicuro.Peccato che la variabile di sessione creata venga "vista" dai nostri curiosi decompilatori.
Qualcuno ha un'idea migliore?Accedere all'area riservata da un indirizzo esterno al filmato flash magari direttamente una pagina asp per evitare questo tipo di problema?MA volendo gestire da flash come fare?
CIao
MArco.