איך לא לאבטח אפליקציות פלאש
למעשה, כל אפליקציה שעובדת על בסיס virtual machine ניתנת לפריצה, אבל ישנם קווי יסוד שניתן ללכת לפיהם על מנת לחשוף כמה שפחות מידע, ובודאי שלא מידע שניתן לשינוי שיגרום לפריצת האפליקציה וחשיפת נתונים "חסויים", כמו שניתן לראות במאמר המצויין הזה שעוקב אחרי תהליך פריצה של אפליקציית AIR והפיכתה ל-timeless trial version.
אז אמנם המאמר מכוון פרסומת לחברה שמבצעת את ה-encryption וה-licensing management, אבל בכל מקרה צריך לזכור כמה כללי יסוד:
1. שימוש בתוכנות encrypt מונעות ברוב המקרים חשיפה של קוד המקור. לדוגמא: SWF Encrypt, Secure SWF
2. לא לשמור נתונים קריטיים (שם משתמש, ססמאות) ב-swf עצמו אלא לקבל פרמטרים מהשרת.
3. להמנע כמה שאפשר משימוש בלינקים סטטיים, אלא לקבל את המידע מהשרת ב-runtime.
4. שימוש ב-https, rtmpe ובפרוטוקולים מאובטחים אחרים להעברת מידע קריטי.
תגובות אחרונות