Originariamente inviato da Broly
Beh una cosa molto "banale" è controllare l'url, tipo
if(_url == "miosito.it/miofile.swf"){
play()
}else{
stop()
}
che fa in modo che se uno guarda il filmato in un posto diverso rispetto al tuo sito il filmato non parta
Più o meno lo script che ti proporrei segue questa filosofia da quanto ho capito ! Controlla la stringa dopo http:// dellì'url e se è == tuosito.it allora visualizza il filmato altrimenti nisba !
La cultura è il nostro passaporto per il domani. Il futuro appartiene alle persone che si preparano oggi.
Martin Luther King
Prima di sputare sui suggerimenti almeno li provi e provi i modi per "fregargli" per testarne le vulnerabilità?Originariamente inviato da f4b10
gia ma se l'utente è molto malizioso(e lo è...)
questo lo risolve in un attimo con apache e il file host!
qlc d + efficace?
Se no c'è un metodo sicurissimo: non metti online il file .swf, vedi che così nessun utente se lo vedrà sul pc.
1)hai una pessima ironia...
2)nn sputo è che nn mi serve provare!
so di principio che in locale e disconnesso
scrivento nel file hosts(win o linux)
"www.sitodiinteresse.it 127.0.0.1"
e facendo girare su apache l'swf scaricato (main.swf) andando su explorer e chiamando
www.sitodiinteresse.it/main.swf
ie mi carichera il movie scaricato precedentemente in locale...
quindi
if(_url == "miosito.it/miofile.swf"){
play()
}else{
stop()
}
viene fregato
3)se vuoi t do un paio di link a swf che girano solo sui siti e scaricati si bloccano!
1) normalmente mi dicono il contrario, ma infatti in questo caso non ero ironico e tu tutto sei stato meno che ironico
2) non ho mai visto nulla che mi facesse venir voglia di cambiare il file host per potermelo vedere in locale
3) bastava postarli prima, almeno uno vedeva a quali siti ti riferivi e magari vedeva di capire quei sistemi, sempre che tu con quelli abbia voglia di sprecarti a provarli
4) nessuno ha detto che quella fosse la soluzione definitiva, poteva semplicemente essere una partenza, puoi aggiungerci una qualsiasi cosa come il caricamento di una variabile da un file esterno e vincolare alla sua presenza l'avvio del filmato. Ma giustamente non avevi voglia nemmeno di sprecarti a provarli, figuriamoci ad "ampliarli".
Tra parentesi, ci sono cose molto più rischiose del fatto che un utente possa vedere il tuo .swf in locale (cosa in cui sinceramente non vedo nulla di "fastidioso", a meno che non si tratti ad esempio di un sito dove vendi i filmati e ne offri un'anteprima e quindi vuoi evitare che quest'anteprima venga "sfruttata"...ma in quel caso basta il controllo sull'_url poichè potrebbe magari vederla in locale ma non funzionerebbe poi sul suo sito); insomma se spiegassi anche un po' meglio il motivo per cui vuoi evitare l'eventuale visione in locale del filmato magari si potrebbero pensare metodi più precisi per le tue esigenze
1)
MI VUOI FAR CREDERE CHE NN ERI IRONICO???Se no c'è un metodo sicurissimo: non metti online il file .swf, vedi che così nessun utente se lo vedrà sul pc.
2)PROBLEMI TUOI!io ho risposto educatamente e cmq citando il file hosts!quindi t poteva venire in mente!
3)si ma nn so quanto voglia abbia la gente di scaricare il swf e provarlo a farlo girare in locale x scoprire che nn c riesce!
m i sembrava abb inutile farlo!nn trovi?nn è d nessun aiuto!!
4)ripeto:
"nn lo provo xke so che nn funziona come t ho dimostrato!!"
magari lho gia provato in passato...che ne dici?
la variabile è una buona idea ma facilmente bypassabile in quanto il file esterno viene salvato in cache e di li lo puoi prendere oppure puoi decompilare l'swf e vedere le inclusioni i load var etc...e scaricarti manualmente i files!
io pensao a qlc sistema di autentificazione doppia!
se è fastidioso...è fastidioso..nn trovi?
Originariamente inviato da f4b10
1)MI VUOI FAR CREDERE CHE NN ERI IRONICO???
Ero serio. Sarai il 400.000esimo utente che arriva sperando di mettere un file su internet e renderlo inaccessibile se non solo sul suo sito.
3)si ma nn so quanto voglia abbia la gente di scaricare il swf e provarlo a farlo girare in locale x scoprire che nn c riesce!
m i sembrava abb inutile farlo!nn trovi?nn è d nessun aiuto!!
Se uno voleva provare provava, davi comunque un'indicazione più precisa quel che volevi fare.
la variabile è una buona idea ma facilmente bypassabile in quanto il file esterno viene salvato in cache e di li lo puoi prendere oppure puoi decompilare l'swf e vedere le inclusioni i load var etc...e scaricarti manualmente i files!
Intanto il file esterno non viene scaricato in cache, inoltre non pensavo certo ad un banale file .txt che puoi scaricare tranquillamente vedendo dove si trova.
E comunque già servirebbe decompilare il file, modificare il file host...cosa che intanto la maggior parte degli utenti non saprebbe fare, stai sopravvalutando l'utente medio...che del resto è quello da cui puoi volerti "proteggere".
1)ok ma qlc c riesce...xke noi nn c dobbiamo riuscire?
2)chi tace acconsente
3)mi sn spiegato anche troppo....hanno capito tutti mi sembra!
4)ok mettiamo a un file php a cui passi una variabile a=1 e lui restituisce ok solo se a=1.
nn avro mai i sorgenti del php è vero...ma cosa me ne frega?
l'utente è malizioso...
decompila il movie con asv legge il post o la stringa di query e vede che gli passa a=1...
apre ie e vede se lui gli passa a=1 al file cosa gli risponde...
alche emula tutto in locale...
tra un file txt php o asp cambia poco!
1) Parlavo in generale e non degli .swf . Manco dovessi mettere online l'archivio segreto della Nasa.Originariamente inviato da f4b10
1)ok ma qlc c riesce...xke noi nn c dobbiamo riuscire?
2)chi tace acconsente
3)mi sn spiegato anche troppo....hanno capito tutti mi sembra!
4)ok mettiamo a un file php a cui passi una variabile a=1 e lui restituisce ok solo se a=1.
nn avro mai i sorgenti del php è vero...ma cosa me ne frega?
l'utente è malizioso...
decompila il movie con asv legge il post o la stringa di query e vede che gli passa a=1...
apre ie e vede se lui gli passa a=1 al file cosa gli risponde...
alche emula tutto in locale...
tra un file txt php o asp cambia poco!
2) non mi pareva valesse la pena rispondere, come al punto 1, a meno che tu non metta online l'archivio segreto della Nasa non so quanti utenti avrebbero voglia di perder tempo col file host solo per vedere il tuo file in locale
4) Veramente l'utente decompilando il file .swf (e già qua basta impedirgli di decompilarlo) vede il percorso del file .php. Questo può bastargli per vedere cosa mandiamo alla pagina .php, non cosa la pagina .php restituisce a Flash.
Insomma aggiungi già il fatto che dovrebbe pure ricrearsi il file .php in locale (e diamo per assunto che uno abbia installato l'occorrente per far girare php in locale e che sappia ricrearsi la pagina php...). Ribadisco che stai sopravvalutando almeno l'80% degli utenti.
Se per te cambia poco tra un file .txt e uno .php ... :rollo:
1)nn è un archivio segreto della nasa ma sto facendo un lavoro x qlc che se trovano il sistema di fottermi vado nei casini
2)se riescono a fare girare uno dei miei file in locale possono fare brutte cose...questo esula dalle trattazioni...si sta cercando di nn farlo fare!
3)"Veramente l'utente decompilando il file .swf (e già qua basta impedirgli di decompilarlo"??
e come faresti???
postami un movies protetto come vuoi...e io scommetti che t faccio vedere tutti i tuoi as?
se l'utente scopre cosa mandiamo alla pagina php ,basta che glielo manda anke lui tramite ie per scoprire cosa php risponde!
ricordo che l'utente è malizioso quindi avanzato e conosce bene queste cose!
nn mi preoccupo di mio nonno!
inoltre basta !non serve php...basta creare un file in plain text con estensione php e con scritto su quello che vogliamo che apache restituisce quello che gli diamo in pasto!
e cmq posso anche ipotizzare che l'utente abbia un server con php!
nn c sn problemi!
il problema è che se l'utente legge il mio as mi fotte tutti i controlli su file esterni...l'unica sarebbe un server x auth!
Rimane aperto l'invito a postarmi un sfw "protetto"
Originariamente inviato da f4b10
3)"Veramente l'utente decompilando il file .swf (e già qua basta impedirgli di decompilarlo"??
e come faresti???
postami un movies protetto come vuoi...e io scommetti che t faccio vedere tutti i tuoi as?
Ci sono alcuni programmini fatti apposta.
se l'utente scopre cosa mandiamo alla pagina php ,basta che glielo manda anke lui tramite ie per scoprire cosa php risponde!
ricordo che l'utente è malizioso quindi avanzato e conosce bene queste cose!
L'utente malizioso e quindi avanzato sarà il 2% degli utenti mondiali, ma va beh, ribadisco che non basta certo andare sulla pagina php per sapere cosa restituisce.
inoltre basta non serve php...basta creare un file in plain text con estensione php e con scritto su quello che vogliamo che apache restituisce quello che gli diamo in pasto!
L'utente NON sa e NON può vedere cosa la pagina .php restituisce.
Inoltre non è affatto detto che basti il testo, perchè potrebbe essere flash che manda dei dati a php e quest'ultimo restituisce un risultato diverso in base a cosa gli è arrivato...per cui l'eventuale "curiosone" dovrebbe anche scoprire cosa avviene nella pagina .php
e cmq posso anche ipotizzare che l'utente abbia un server con php!
nn c sn problemi!
Se intendi che abbia un server suo ok, se intendi che abbia uno spazio web con php abilitato, a quel punto non ha la modifica del file host possibile.
il problema è che se l'utente legge il mio as mi fotte tutti i controlli su file esterni...l'unica sarebbe un server x auth!
Escludendo l'impedirgli (o comunque il complicargli) la lettura dell'As, non è affatto detto che leggendo le AS lui veda cosa flash carica dalla pagina .php.
Rimane aperto l'invito a postarmi un sfw "protetto"
Se intendi protetto dalla lettura delle actions posso farlo anche ora, se intendi protetto anche dalla visione in locale ora non ho tempo perchè devo prima fare delle altre cose.
Chiaramente dipende anche da quali decompilatori usi, non so contro quanti e quali sia efficace l'ultimo programmino che ho provato.
E comunque siamo al punto che un utente dovrebbe
- avere uno o più decompilatori (completi e non la demo)
- modificare il file host
- avere installato il necessario per far girare php
- sapersi fare la pagina .php e capire com'è strutturata quella originale
Permessi di invio
Rispondi quotando