FLEXとAMFPHPを使用して、かなり単純なユーザー認証システムを作成しようとしていますが、セキュリティについて質問があります。
私が見るほとんどの例は、プレーンテキストのユーザー名/パスワードをphpファイルに送信します。phpファイルはそれらを暗号化し、データベースに送信してチェックまたは保存します...何かが足りないか、プレーンテキストでユーザー名/パスワードを送信している可能性がありますハッカーが通話を傍受し、リクエストから情報を抽出するために?FLEXからのリクエストは傍受できますか?それとも、サーバーサイドの「密室」で行われているのでしょうか。
はい、あなたが正しい。クライアントでパスワードをハッシュし、その後サーバーに送信します。
または、ログインページにHTTPS接続を強制することもできます。そうすれば、パスワードはPHPサーバーへのネットワーク上で暗号化されますが、ハッシュを管理できるように、PHPへのプレーンテキストで引き続き利用できます。
クライアントでパスワードをハッシュしてサーバーに送信することはできますが、クライアントでハッシュアルゴリズムを見つけることができる人がいることに注意する必要があります。初心者をファウルしようとすると、ハッシュが機能する可能性があります。しかし、ハッカーが新人ではないと考えるなら、ハッシュを気にせず、直接HTTPSを使用するべきではないと思います。
前にネストされた別のswfをロードしても、問題は解決しません。ブラウザはメモリにキャッシュされたファイルを効率的に保護せず、ハッカーはあなたが隠そうとしているファイルを見つけることができます。