Decompilatore swf e sicurezza password

**pisa_p** · 24-02-2005, 10:13

Mi sono accorto da un paio di giorni che qualcuno mi ha decompilato i file swf e ha trovato gli url delle pagine asp che gestiscono i vari database.La cosa che mi ha scocciato di più è stato il tentativo ripetuto da parte di questo personaggio di accedere all'area riservata del sito, quella che gestisce le news, la newsletter le statistiche ecc. .
In poche parole ha decompilato il file swf "login" e ha trovato gli indirizzi delle pagine asp.
A questo punto vorrei dare un consiglio a tutti quelli che come me si sono avvicinati da poco a flash.Ho notato molti esempi scaricabili di FLA che gestiscono password dove la password stessa si trova all'interno del FLA oppure di un file txt.Bene ci volgiono circa 10 secondi a fregarvi la password ed accedere alle aree riservate del sito.
Io ho fatto così:con un sendandload mando username e password ad una pagina asp che confronta il dato in un database access quindi mi da una risposta.A questo punto viene creata una variabile di sessione e con un geturl mi apre la pagina del pannello di controllo.Mi sembra abbastanza sicuro.Peccato che la variabile di sessione creata venga "vista" dai nostri curiosi decompilatori.
Qualcuno ha un'idea migliore?Accedere all'area riservata da un indirizzo esterno al filmato flash magari direttamente una pagina asp per evitare questo tipo di problema?MA volendo gestire da flash come fare?
CIao
MArco.

**Broly** · 24-02-2005, 10:30

Che flash sia la cosa meno sicura quando si tratta di login & c è ormai saputo...il consiglio che dai tu è già stato dato 1000-2000 volte

proprio perchè si è visto che coi decompilatori ci vuol nulla a trovare pass e simili dentro a un .swf o su un .txt
Il metodo di usare un linguaggio server-side tenendo i dati in un database e mandando dalla pagina server-side solo una risposta "sì" "no" è quello bene o male più usato direi, è anche abbastanza sicuro dato che fai una cosa analoga a quella che faresti senza usare flash, solo che la pagina server-side manda un dato a flash invece che mandare subito alla pagina "protetta". Diciamo che se puoi fare a meno di flash per que login è meglio

, altrimenti come soluzione va abbastanza bene, in fondo anche se l'utente sa l'url della pagina .asp non può comunque sapere i dati contenuti nel database

**pisa_p** · 24-02-2005, 10:53

Non avevo visto vecchie discussioni su questo problema qui in flash...ho cercato solo nella sezione asp...
Comunque in tutto il tempo che ho passato a studiare il discorso login con flash, durante il quale penso di aver letto tutte le discussioni,tutorial guide sia flash che asp,non mi sono reso conto del problema sicurezza legato ai decompilatori swf.Forse è stato detto ma non capisco perchè non mi aveva poi colpito molto, forse bisogna sbatterci la testa per capirlo.Ho sempre sentito dire che i compilatori non funzionano un granchè, che ti restituiscono il codice confuso e via dicendo....ieri ne ho provato un paio e uno mi ha restituito dall'swf il FLA praticamente perfetto come l'avevo scritto io in origine nel giro di pochi secondi.E dentro gli indirizzi delle mie pagine nascoste che il mio "visitatore curioso" sta testando a ripetizione (109 pagine in poche ore di connessione).Tra l'altro non credo che ne capirà molto senza vedere il codice asp....comunque contento lui...

Bè mi hai confortato, almeno il sistema che ho usato è abbastanza sicuro.

Ciao
Marco.

**Broly** · 24-02-2005, 11:00

Se n'è parlato svariate volte nel forum

Sui tutorial chiaramente si spiega di più come realizzare la cosa, quindi è probabile che non tocchino molto il problema decompilatori

Beh mi sa che hai letto discussioni di un po' di tempo fa

, quei discorsi sul codice confuso etc. si facevano all'inizio, quando effettivamente non erano molto efficaci...ormai (purtroppo) riescono a restituirti pure il .fla, oltretutto ne esistono svariati...cosa "positiva" però è che stanno cominciando a tirare fuori anche dei "protettori", finora non sono mai stati molto efficaci, anche perchè erano spesso solo "progettini" di qualche utente e non avevano quindi alle spalle delle case produttrici come succede coi decompilatori...ma ora forse si inizia a muovere qualcosa, anche perchè probabilmente si sono accorti che chi riuscisse a produrre un "protettore" efficace probabilmente troverebbe molti acquirenti

**pisa_p** · 24-02-2005, 13:21

Ne sto testando uno di protettore....non che abbia segreti però insomma...un po' mi scoccia...
Grazie per le risposte.
Ciao
MArco.

**spirtu** · 24-02-2005, 20:37

Ciao, avrei un paio di domandine da farti:
Per quanto riguarda il problema di questa discussione, hai qualche sito da indicarmi dove posso apprendere i primi passi x far convivere flash+asp?
Mentre l'altra domanda è il nome del font utilizzato x il tuo sito (outlet roberto cavalli...complimenti è molto bello) e dove posso recuperarla.
Grazie mille

**Broly** · 24-02-2005, 21:43

Per i tutorial su flash+asp puoi guardare su flash-mx.html.it ad esempio

**spirtu** · 24-02-2005, 21:55

Grazie mille, ci do un'occhiata...per il font invece? idea?

**Broly** · 24-02-2005, 22:00

Beh per quello aspettiamo pisa_p

**spirtu** · 24-02-2005, 22:05

Ok no problem, grazie mille

Discussione: Decompilatore swf e sicurezza password

Strumenti discussione

Ricerca discussione

Visualizza

Decompilatore swf e sicurezza password

Per Pisa_p

Permessi di invio