【发布时间】:2014-01-28 00:29:54
【问题描述】:
我正在构建一个在网络上运行的 Flash 应用程序,用户可以在其中访问并结合我的服务(使用 Python 构建)创建自己的内容。具体来说:用户发送了一些数据;在服务器上执行一些转换;然后将完成的内容发送回用户,由客户端应用呈现。
我希望能够防止客户端呈现虚假内容,我可以通过将密钥散列与服务器生成的主要内容一起传递来做到这一点。然后,客户端将使用相同的密钥再次对内容进行哈希处理,并确认哈希/签名匹配。如果存在不匹配,则可以认为内容是不真实的。
我遇到的问题是将密钥保存在 SWF 中是不安全的。我考虑了多种混淆密钥的方法,但我了解到,如果攻击者想要它,他们可以很容易地得到它。一旦攻击者拥有了这一点,他们就可以开始创建自己的内容,在不知不觉中被客户端接受。
是否有另一种方法可以在客户端验证文件的签名,而不暴露用于创建该签名的方法?
【问题讨论】:
-
听起来像是security.stackexchange.com的问题。
-
啊,谢谢你的建议。由于这两个站点之间似乎存在一些重叠,因此我将把它留得更久一些,如果我在这里没有看到答案,我会将其移至信息安全部门。
标签: python flash security hash digital-signature