2

PHP 、AS3、および AMFPHP を使用するプロジェクトに取り組んでいます。

このプロジェクトにより、ユーザーは特に画像をアップロードおよびダウンロードできます。私は PHP/FLash セキュリティにかなり慣れていないので、物事を可能な限り安全にするための情報をできるだけ多く集めようとしています。.htaccess ファイルの使用に関する適切なアドバイスと、その他のいくつかのトリックがあります。

現時点での私の主な質問は、PHP / assets /との間、およびAMFPHPサービスとの間の「パス」情報を非表示にする方法です...

現在、私はすべてのパスを1つの.asにハードコーディングしており、それを必要/要求する他のクラスへのパスを持つオブジェクトを返します。この .AS を変更するだけでよく、それを必要とする他のクラスに分岐するため、このメソッドはうまく機能することがわかりました。

他の人が私のコードを逆コンパイルすることをあまり心配していません。彼らが本当に望むなら、彼らはおそらくパスを「盗聴」することができるでしょう。私は主に、他の人が私の AMFPHP サービスのすべてに簡単にアクセスできるようにすること、またはサイトの一部に許可されたくない部分にアクセスできるようにすることに関心があります。基本的に、物事が100%安全になるわけではないことは理解していますが、予防策を講じたいと思います.

だから私の主な質問は... PHP-AS3プロジェクトで使用されているパスを隠す/隠すための最も簡単な方法は何ですか? ... PHP のインクルードや、必要に応じて SQL データベースを利用することもできました。私は、疑わしい難読化ソフトウェアに多くの時間とお金を費やすつもりはありません。..そして私は現在SSLを持っていませんが、どれほど重要かはわかりません-これは一般的です。--

4

2 に答える 2

4

お気づきのように、Wireshark を使用してサイトに送信されるトラフィックを監視したり、Flash 逆コンパイラを使用してソース コードを調べてリンクを直接見つけたりすることで、誰でもパスを見つけることができます。

パスを隠そうとするのは、苦労する価値があるとは思えません。追加されるのは、わずかなあいまいなレイヤーだけだからです。興味のある人なら誰でも、比較的少ない労力でそれを理解できますが、平均的な人は、サービスの 1 つに AMF 呼び出しを行う方法についてまったく手がかりがありません。代わりに、AMFPHP 関数自体を可能な限り安全にすることに専念したいと思います。

于 2010-02-14T04:53:14.953 に答える
1

mod_rewrite ファイル (Apache を使用) を使用して、ページのファイル拡張子を削除または変更できます。

RewriteEngine on
RewriteRule ^bob.php$ bob.html

その他の例については、 http://www.workingwith.me.uk/articles/scripting/mod_rewriteを参照してください。

これにより、フラッシュにハードコーディングされたリンクが変更されることはありませんが、ユーザーにとってわかりにくくなる可能性があります。

Windows を使用している場合は、OBFU を使用してフラッシュ コードを難読化できます。高価ですが、非常に安全です。オープンソースの代替手段がいくつかありますが、安全ではありません。

http://tech.motion-twin.com/obfu.htmlを参照してください。

しかし、Code Duck が言っていることは、完全に保護する方法がないという点で正しいです。

于 2010-02-14T05:54:05.110 に答える