【问题标题】:Securing flash and php (AMF) communication保护 flash 和 php (AMF) 通信
【发布时间】:2011-09-12 04:58:06
【问题描述】:

我目前正在构建一个使用 PHP 作为后端的 Flex 4 Web 应用程序。我正在使用 AMF 让后端和 flex 应用程序相互通信。

如何保护我的 AMF 端点?用户只需反编译我的 flex 应用程序,找到我的端点的 URI 并调用方法。我需要确保对端点的所有调用都是在我的应用程序中完成的。

我想防止这样的事情发生:http://musicmachinery.com/2009/04/15/inside-the-precision-hack/

实现这一目标的最佳方法是什么?

谢谢:)

【问题讨论】:

    标签: php flash apache-flex


    【解决方案1】:

    网址并不重要。它们非常很容易从任何 Web 应用程序中找到,但您仍然需要它才能公开访问它们。有几件事要做,首先,如果您对数据安全性本身感兴趣,您可能希望您的服务器通过 https 而不是 http 运行。但是,如果数据安全性并不重要(而且通常并非如此),那么您只需要一个快速而肮脏的身份验证系统即可。

    我相信您可以在网上找到很多文章,甚至可以找到用于 php 身份验证的框架。过去,当我需要一个非常简单的身份验证时,我会让我的客户端将用户名和 SHA1 密码发送到 php 上的一个开放身份验证函数,然后它会创建、存储并返回一个会话 ID。该会话 ID 将成为所有其他 php 函数的 first 参数。这些函数将检查数据库以查看会话 ID 是否存在或仍然有效(距上次使用时间的 15 分钟时间戳),如果是,则继续执行该函数。

    这只是一种非常简单的做事方式,适用于许多小型网站。如果您需要更高的安全性,请通过 https 发送所有这些信息,以防止嗅探器获取通过网络发送的会话 ID。在那之后,您将进入企业安全领域,这对于您想要做的事情来说可能是多余的,并且会花费您一条胳膊、一条腿和您的左睾丸:P

    【讨论】:

    • 我会补充一点,如果你要存储密码,请哈希和加盐。别忘了盐。
    • Jonathan,好点子,salting 是提高密码安全性的简单方法。
    猜你喜欢
    • 2012-09-15
    • 1970-01-01
    • 2011-06-11
    • 1970-01-01
    • 1970-01-01
    • 2010-11-28
    • 1970-01-01
    • 2010-11-24
    • 2014-03-25
    相关资源
    最近更新 更多