Seguridad con Flash y PHP - WebPanel

Hola a la gente!

bueno, he desarrollado un webpanel con interfase en flash, y con php y mysql de backend. Le estoy implementando medidas de seguridad y una que pense es esta:

un swf como sabran esta incrustado en un html
si le doy la direccion http://midominio.com/webpanel/ me despliegua una zona de login, y mando las variables a ese mismo documento index.php para que me mueste el html con el swf incrustrado.

Lo que pasa es que si tipeas el nombre del archivo swf directamente...o sea http://midominio.com/webpanel/index.swf tienes acceso directo al panel (aunque queda medio desproporcionado, porque se ajusta al navegador)

quisiera saber si es posible solucionar este problema...por ejemplo, que el swf solo se pueda ver si esta incrustado en el html...se acetan sugerencias
gracias!

nada?
estoy pensando en cambiar el nombre aleatoriamente....o bien meter el swf en un folder protegido, pero no se si sea la mejor solucion o sea factible

pegunta en el foro de flash, pq podrias escribir algo en actionsript para que detecte si esta o no el html, o puedes insertar el swf en un php y haces que la pagina envie una numero a la bd y luego lo enviars el swf como post, y posteriormente puedes leero de la bd con otro script en php y existe activas si no te vas a un frame de error por label, y por ultimo cuando el usuario se retire de la pagina se elimina el numero de la bd.

salu2


pd: pero la sulucion esta en manos del actionscript..

emmm...wei...flash no puede detectar si estas en un html directamente
La unica forma seria con FlashVars....pero aun no es segura, porque igual te descargas el swf, usas el AS Viewer...y pues ya valio, ves como crackearte el codigo al menos con la posibilidad de ver mi actionscript (y como interactua con la base de datos). En temas de actionscript ando muy avanzado...y se como romper mi propio codigo :P. Segun yo no se me esta escapando nada. Pero la otra idea es mas interesante en cierta forma. Se me ocurre tener un swf fuente con permisos de escritura nada mas, y los de lectura bloquedos. Entonces entra una persona en la pagina...hago una copia temporal con un nombre random y es el que va ir incrustado en el html generado dinamicamente. Cuando el usuario deja la pagina, destruyo el archivo random. Asi solo los usuarios que tienen password pueden ver el swf. Tambien implementaria lo de FlashVars (se que es paranoia, pero nunca esta de mas meterle mas seguridad a tus codigos)

Mi duda, es como averiguo cuando el usuario deja la pagina....con sesiones? cookies? javascript?

gracias cadrogui!!!

creo que hay un evento ennhtml obien puedes usar javascript, pero ese es un tema desconocido para mi, lo de trabajar con sesiones le dará mas seguridad al sistema..

salu2

html no maneja eventos :P
seria el onClose() de javascript por supuesto

yo creo que usare una sesion apoyandome mas o menos en la idea de alla arriba. Asi me aseguro de que el archivo que exista solo se pueda copiar por php y no leer, ademas de guardar la sesion en una bd y despues borrarla....me parece que asi le hacen por seguridad. No he trabajado con sesiones, pero creo que en este foro hay suficiente info para que busque :D
gracias!!!

de nada

salu2

Hola, en principio en este caso lo de las sesiones no es del TODO seguro, aunque con unas cositas en el codigo PHP se podría hacer del todo seguro.

La idea sería que en lugar de incrustar el SWF en un .html, lo hagas en un .PHP...
Una vez tienes eso, haces otro .PHP que contenga un FORM con los campos de USUARIO y CONTRASEÑA, compruebas estos datos en la BBDD.

- Sí son validos los datos, utiliza una "variable de session", por ejemplo $_SESSION['autentificado']=="SI", que consigues con esta variable? pues que en la página .PHP que contiene el SWF puedes comprobar, si dicha variable es igual a "SI" entonces que siga ejecutando codigo PHP para mostrar el SWF, sino es igual a "SI" entonces es que los datos no son validos, con lo cual redireccionas a cualquier otra página con header ("Location: lapaginaquequieras.php");
así no podrá acceder a la pagina que contiene el SWF a menos que los datos que se introduzcan sean validos.

Saludos

Con sesiones controlarías quien accede al script PHP de proceso y desde donde (creando en tu llamada a tu .php que incrustra tu HTML+objeto que llama a tu .swf) .. Y . .eso es lo que manda al final de todo .. "la validación del servidor" .. Realmente me daría igual que vean el swf directo (si es que por sí sólo no se pueda bloquear de alguna forma) .. por qué .. con la sesión llegada la hora de la verdad de interactuar con el servidor .. ahí lo pararía la validación correspondiente.


Un saludo,

gracias por las respuestas de ambos
voy a hacer la implementacion

hola puedes ocupar peliculas cargadas en niveles ej.

uno.swf(nivel1) pantalla donde sale el user y pass llama a dos.swf(web panel).

dos.swf(nivel2) pantalla donde este el web panel.


solo se puede acceder a dos.swf si pasas por el primero .

si en el caso de alguien llame directamente al dos.swf ,inabilitas botones o haces invisible la pelicula .

forma de validar

estando en dos.swf:

if (_level1.user.text) //si user es true
{
muestra el web panel
}
else
{
inabilitas todo.

_level2._visible=false //esto la hace invisible por ej.
}

saludos...

A ver, la cuestión no es que no puedan entrar al SWF sin autentificarse primero, sino que no puedan "obtener" el SWF de alguna manera y conseguir información crucial para romper el sistema.

Por eso aunque no puedan visualizar el SWF desde la pagina PHP porque la validación de la Session se lo prohiba, siempre podrán conseguir el SWF y mirar su contenido... Para evitar eso habría que hacer un pequeño truquillo en el codigo PHP.