איך לא לאבטח אפליקציות פלאש
למעשה, כל אפליקציה שעובדת על בסיס virtual machine ניתנת לפריצה, אבל ישנם קווי יסוד שניתן ללכת לפיהם על מנת לחשוף כמה שפחות מידע, ובודאי שלא מידע שניתן לשינוי שיגרום לפריצת האפליקציה וחשיפת נתונים "חסויים", כמו שניתן לראות במאמר המצויין הזה שעוקב אחרי תהליך פריצה של אפליקציית AIR והפיכתה ל-timeless trial version.
אז אמנם המאמר מכוון פרסומת לחברה שמבצעת את ה-encryption וה-licensing management, אבל בכל מקרה צריך לזכור כמה כללי יסוד:
1. שימוש בתוכנות encrypt מונעות ברוב המקרים חשיפה של קוד המקור. לדוגמא: SWF Encrypt, Secure SWF
2. לא לשמור נתונים קריטיים (שם משתמש, ססמאות) ב-swf עצמו אלא לקבל פרמטרים מהשרת.
3. להמנע כמה שאפשר משימוש בלינקים סטטיים, אלא לקבל את המידע מהשרת ב-runtime.
4. שימוש ב-https, rtmpe ובפרוטוקולים מאובטחים אחרים להעברת מידע קריטי.
כשאתה רוצה לספק הגנה ברמה גבוהה סעיף 2 לדוגמא לא עומד מספיק בני עצמו, אתה צריך לשלב אותו עם סעיף 4.
לאחר שביצעת אותנטיקציה אתה יכול משם לעבור לעבוד ב HTTP על מנת להקל על התעבודה (אלא אם כן במשך חיי האפליקציה אתה מעוניין להסתיר עוד דברים.
מה שכן - גדי - האם פלאש יודע להתמודד עם SSL שהוא לא חתום (אני מניח שבסביבת דפדפן לא,השאלה אם ככה גם ב EXE או שאולי יותר מזה יש גם דרכים לתיר לו לעבוד עם SSL לא חתום)?
פלאש יודע להתמודד עם unsigned SSL, מה שכן כמו שכתבת בסביבת web מתקבל Stream Error ואין אפשרות להתחבר.
בסביבת AIR וקבצי Exe ניתן לעבוד עם Unsigned SSL.
בנוגע לסעיף אחד - יש תוכנות האלה שימוש?
התוכנות נועדו כדי שלא יוכלו להסתכל\לגנוב את הקוד של האפליקציה\משחק.
בכדי להסתכל עד קוד המקור - הם צריכים להוריד את הSWF.
בכדי להוריד את ה-SWF, הם צריכים לדעת את מקומו.
פשוט נשתמש ביצירתיות כדי שלא יוכלו לדעת מה מיקום ה-SWF.
אני טועה?