Flashクライアントがサーバーと安全に(バイナリソケットを介して)通信する必要があります。このために、AS3コード内に事前共有キーを埋め込み、カスタムプロトコルを介してXORされたデータを交換することを考えていました。
SWF逆コンパイラーは、すべての埋め込みコードを明確に表示して読みやすくするのに優れていると言われています。これは、キーを本当に隠すことができないという意味ですか?
この方法が実用的でない場合、他にどのようなオプションがありますか?私はas3cryptoを試しましたが、欠点がたくさんあり、深刻なドキュメントが不足していることがわかりました。
キーを完全に隠すことはできません-SWFは完全に信頼されておらず、簡単に逆コンパイルできます。SWFはクライアント上で実行され、信頼されていないため、セキュリティに対処するのはかなり困難です。
特に、安全な通信で何を達成しようとしているかによって異なります。たとえば、ゲームがクライアント(SWF)で実行され、サーバーに必要なスコアを吐き出すように操作できるため、ほとんど不可能なハイスコアシステムを保護しようとしている場合です。これについての良い読み物はここにあります:人々がFlashゲームのPHPベースのハイスコアテーブルをハッキングするのを防ぐための最良の方法は何ですか
SWFをフロントエンドUIとしてのみ使用でき、すべてのロジックがバックエンドで実行される場合は、アプリケーションを保護できます(ゲームがAS3ゲームではなく、実際に実行された場合は、上記のハイスコアの例を使用します)サーバー自体は、バックエンドが信頼されており、ユーザーが変更または表示できないため、セキュリティで保護するのがはるかに簡単です)が、ロジックがSWFで行われる場合は、ほとんど運が悪いことになります。