Foros del Web » Programando para Internet » PHP »

Seguridad con Flash y PHP - WebPanel

Estas en el tema de Seguridad con Flash y PHP - WebPanel en el foro de PHP en Foros del Web. Hola a la gente! bueno, he desarrollado un webpanel con interfase en flash, y con php y mysql de backend. Le estoy implementando medidas de ...
  #1 (permalink)  
Antiguo 06/05/2004, 14:08
 
Fecha de Ingreso: septiembre-2002
Ubicación: Mexico
Mensajes: 142
Antigüedad: 15 años, 3 meses
Puntos: 0
Seguridad con Flash y PHP - WebPanel

Hola a la gente!

bueno, he desarrollado un webpanel con interfase en flash, y con php y mysql de backend. Le estoy implementando medidas de seguridad y una que pense es esta:

un swf como sabran esta incrustado en un html
si le doy la direccion http://midominio.com/webpanel/ me despliegua una zona de login, y mando las variables a ese mismo documento index.php para que me mueste el html con el swf incrustrado.

Lo que pasa es que si tipeas el nombre del archivo swf directamente...o sea http://midominio.com/webpanel/index.swf tienes acceso directo al panel (aunque queda medio desproporcionado, porque se ajusta al navegador)

quisiera saber si es posible solucionar este problema...por ejemplo, que el swf solo se pueda ver si esta incrustado en el html...se acetan sugerencias
gracias!
__________________
www.subflash.com <-----visita
  #2 (permalink)  
Antiguo 06/05/2004, 17:58
 
Fecha de Ingreso: septiembre-2002
Ubicación: Mexico
Mensajes: 142
Antigüedad: 15 años, 3 meses
Puntos: 0
nada?
estoy pensando en cambiar el nombre aleatoriamente....o bien meter el swf en un folder protegido, pero no se si sea la mejor solucion o sea factible
__________________
www.subflash.com <-----visita
  #3 (permalink)  
Antiguo 06/05/2004, 19:18
Avatar de cadrogui  
Fecha de Ingreso: junio-2003
Mensajes: 875
Antigüedad: 14 años, 6 meses
Puntos: 5
pegunta en el foro de flash, pq podrias escribir algo en actionsript para que detecte si esta o no el html, o puedes insertar el swf en un php y haces que la pagina envie una numero a la bd y luego lo enviars el swf como post, y posteriormente puedes leero de la bd con otro script en php y existe activas si no te vas a un frame de error por label, y por ultimo cuando el usuario se retire de la pagina se elimina el numero de la bd.

salu2


pd: pero la sulucion esta en manos del actionscript..
__________________
La mejor manera de aprender es por medio de un aprendizaje significativo....

http://www.cocert.cl
  #4 (permalink)  
Antiguo 06/05/2004, 21:31
 
Fecha de Ingreso: septiembre-2002
Ubicación: Mexico
Mensajes: 142
Antigüedad: 15 años, 3 meses
Puntos: 0
emmm...wei...flash no puede detectar si estas en un html directamente
La unica forma seria con FlashVars....pero aun no es segura, porque igual te descargas el swf, usas el AS Viewer...y pues ya valio, ves como crackearte el codigo al menos con la posibilidad de ver mi actionscript (y como interactua con la base de datos). En temas de actionscript ando muy avanzado...y se como romper mi propio codigo :P. Segun yo no se me esta escapando nada. Pero la otra idea es mas interesante en cierta forma. Se me ocurre tener un swf fuente con permisos de escritura nada mas, y los de lectura bloquedos. Entonces entra una persona en la pagina...hago una copia temporal con un nombre random y es el que va ir incrustado en el html generado dinamicamente. Cuando el usuario deja la pagina, destruyo el archivo random. Asi solo los usuarios que tienen password pueden ver el swf. Tambien implementaria lo de FlashVars (se que es paranoia, pero nunca esta de mas meterle mas seguridad a tus codigos)

Mi duda, es como averiguo cuando el usuario deja la pagina....con sesiones? cookies? javascript?

gracias cadrogui!!!
__________________
www.subflash.com <-----visita

Última edición por leinad256; 06/05/2004 a las 21:32
  #5 (permalink)  
Antiguo 06/05/2004, 21:51
Avatar de cadrogui  
Fecha de Ingreso: junio-2003
Mensajes: 875
Antigüedad: 14 años, 6 meses
Puntos: 5
creo que hay un evento ennhtml obien puedes usar javascript, pero ese es un tema desconocido para mi, lo de trabajar con sesiones le dará mas seguridad al sistema..

salu2
__________________
La mejor manera de aprender es por medio de un aprendizaje significativo....

http://www.cocert.cl
  #6 (permalink)  
Antiguo 06/05/2004, 21:55
 
Fecha de Ingreso: septiembre-2002
Ubicación: Mexico
Mensajes: 142
Antigüedad: 15 años, 3 meses
Puntos: 0
html no maneja eventos :P
seria el onClose() de javascript por supuesto

yo creo que usare una sesion apoyandome mas o menos en la idea de alla arriba. Asi me aseguro de que el archivo que exista solo se pueda copiar por php y no leer, ademas de guardar la sesion en una bd y despues borrarla....me parece que asi le hacen por seguridad. No he trabajado con sesiones, pero creo que en este foro hay suficiente info para que busque :D
gracias!!!
__________________
www.subflash.com <-----visita
  #7 (permalink)  
Antiguo 06/05/2004, 22:00
Avatar de cadrogui  
Fecha de Ingreso: junio-2003
Mensajes: 875
Antigüedad: 14 años, 6 meses
Puntos: 5
de nada

salu2
__________________
La mejor manera de aprender es por medio de un aprendizaje significativo....

http://www.cocert.cl
  #8 (permalink)  
Antiguo 07/05/2004, 03:03
pr0
 
Fecha de Ingreso: marzo-2004
Mensajes: 687
Antigüedad: 13 años, 8 meses
Puntos: 28
Hola, en principio en este caso lo de las sesiones no es del TODO seguro, aunque con unas cositas en el codigo PHP se podría hacer del todo seguro.

La idea sería que en lugar de incrustar el SWF en un .html, lo hagas en un .PHP...
Una vez tienes eso, haces otro .PHP que contenga un FORM con los campos de USUARIO y CONTRASEÑA, compruebas estos datos en la BBDD.

- Sí son validos los datos, utiliza una "variable de session", por ejemplo $_SESSION['autentificado']=="SI", que consigues con esta variable? pues que en la página .PHP que contiene el SWF puedes comprobar, si dicha variable es igual a "SI" entonces que siga ejecutando codigo PHP para mostrar el SWF, sino es igual a "SI" entonces es que los datos no son validos, con lo cual redireccionas a cualquier otra página con header ("Location: lapaginaquequieras.php");
así no podrá acceder a la pagina que contiene el SWF a menos que los datos que se introduzcan sean validos.

Saludos

Última edición por pr0; 07/05/2004 a las 03:06
  #9 (permalink)  
Antiguo 07/05/2004, 08:05
O_O
 
Fecha de Ingreso: enero-2002
Ubicación: Santiago - Chile
Mensajes: 34.417
Antigüedad: 15 años, 11 meses
Puntos: 126
Con sesiones controlarías quien accede al script PHP de proceso y desde donde (creando en tu llamada a tu .php que incrustra tu HTML+objeto que llama a tu .swf) .. Y . .eso es lo que manda al final de todo .. "la validación del servidor" .. Realmente me daría igual que vean el swf directo (si es que por sí sólo no se pueda bloquear de alguna forma) .. por qué .. con la sesión llegada la hora de la verdad de interactuar con el servidor .. ahí lo pararía la validación correspondiente.


Un saludo,
__________________
Por motivos personales ya no puedo estar con Uds. Fue grato haber compartido todos estos años. Igualmente los seguiré leyendo.
  #10 (permalink)  
Antiguo 07/05/2004, 11:48
 
Fecha de Ingreso: septiembre-2002
Ubicación: Mexico
Mensajes: 142
Antigüedad: 15 años, 3 meses
Puntos: 0
gracias por las respuestas de ambos
voy a hacer la implementacion
__________________
www.subflash.com <-----visita
  #11 (permalink)  
Antiguo 07/05/2004, 14:49
Avatar de mveraa  
Fecha de Ingreso: diciembre-2002
Ubicación: santiago-chilito
Mensajes: 1.895
Antigüedad: 15 años
Puntos: 2
hola puedes ocupar peliculas cargadas en niveles ej.

uno.swf(nivel1) pantalla donde sale el user y pass llama a dos.swf(web panel).

dos.swf(nivel2) pantalla donde este el web panel.


solo se puede acceder a dos.swf si pasas por el primero .

si en el caso de alguien llame directamente al dos.swf ,inabilitas botones o haces invisible la pelicula .

forma de validar

estando en dos.swf:

if (_level1.user.text) //si user es true
{
muestra el web panel
}
else
{
inabilitas todo.

_level2._visible=false //esto la hace invisible por ej.
}

saludos...
  #12 (permalink)  
Antiguo 08/05/2004, 12:03
pr0
 
Fecha de Ingreso: marzo-2004
Mensajes: 687
Antigüedad: 13 años, 8 meses
Puntos: 28
A ver, la cuestión no es que no puedan entrar al SWF sin autentificarse primero, sino que no puedan "obtener" el SWF de alguna manera y conseguir información crucial para romper el sistema.

Por eso aunque no puedan visualizar el SWF desde la pagina PHP porque la validación de la Session se lo prohiba, siempre podrán conseguir el SWF y mirar su contenido... Para evitar eso habría que hacer un pequeño truquillo en el codigo PHP.
Atención: Estás leyendo un tema que no tiene actividad desde hace más de 6 MESES, te recomendamos abrir un Nuevo tema en lugar de responder al actual.
Respuesta




La zona horaria es GMT -6. Ahora son las 02:56.