+- JeuWeb - Crée ton jeu par navigateur (https://jeuweb.org)
+-- Forum : Discussions, Aide, Ressources... (https://jeuweb.org/forumdisplay.php?fid=38)
+--- Forum : Communauté, communication, marketing (https://jeuweb.org/forumdisplay.php?fid=49)
+--- Sujet : Que pensez vous de la découverte de faille ? (/showthread.php?tid=1620)
RE: Que pensez vous de la découverte de faille ? - Loetheri - 26-08-2007
On se recentre sur le débat d'origine qui était la réaction à tenir en cas de découverte de faille.
Mais comme j'ai l'impression que l'on a fait le tour du dit-débat, on peut s'arrêter ?
RE: Que pensez vous de la découverte de faille ? - Argorate - 26-08-2007
Que dire de plus si ce n'est que le createur du jeu d'où provient la faille est franchement incorecte vis a vis du gentil joueur venant l'aider, et vis a vis du reste de ces joueurs...
Il faut tous, toujours, verifier quand on passe par des $_GET ou $_POST... cela evite ce genre d'enorme faille, qui je le sais bien, sont posible avec d'autres navigateurs que FF, mais plus facil "d'acces" avec...
voila, j'ai fait le tour du probleme pour ma part.
RE: Que pensez vous de la découverte de faille ? - Sephi-Chan - 26-08-2007
En fait, entre POST et GET, on disait souvent de POST qu'il était plus sécurisé, mais c'est bien un masque auquel il faut faire attention, puisqu'on peut aussi bien détourner l'un que l'autre.
Le POST à juste l'avantage de l'esthétisme, mais pour éprouver un jeu avant de le mettre en production, il peut être plus judicieux de n'utiliser que des GET.
Le GET est également pratique pour changer des éléments à l'URL, comme des critères de recherches, la page à afficher et compagnie.
Sephi-Chan
RE: Que pensez vous de la découverte de faille ? - Ludvig - 26-08-2007
juste en passant ; on peut sécuriser les variables passés en POST/GET sans accès au DB aussi ...
Si je veux envoyer $a=10 et $b=20 et $nom="achat", j'ia qu'à faire un variable de test:
$test=MD5('unechanelongueetbizarre'.$a.'-'.$b.'-'.$nom);
et envoyer $a,$b,$nom et $test
et à la réception je teste si :
if($test!=MD5('unechanelongueetbizarre'.$a.'-'.$b.'-'.$nom))die("Erreur");
On peux toujours changer les valeurs (avec FF etc.) mais le test va le détecter.
en plus MD5 est assez rapide si je me souviens bien (libre à chaqu'un
d'utiliser un autre hashage) , de plus, si jamais grand jamais quelqu'un
cryptoanalyse pendant des mois pour trouver la chaine 'unechanelongueetbizarre'
le webmaster peut alors juste le changer... (ou pour les parano, le changer régulièrement ^^)
Voila voila
/Lud
RE: Que pensez vous de la découverte de faille ? - Sephi-Chan - 26-08-2007
Oui c'est sur que ça aide à protéger les données, j'avais testé une technique de ce genre, qui utilisait le duo jour/mois comme chaîne de manière à ce que cela change chaque jour.
Il me semble que ça fonctionnait plutôt bien.
Sephi-Chan
RE: Que pensez vous de la découverte de faille ? - joshua - 27-08-2007
De totue facon il va de soi que le joueur qui enverrait une chaine erronée, de base son compte serait verrouillé, et si jamais il s'agissait d'une chaine modifiée dans un but précis (et ca se voit) dans ce cas, son compte serait automatiquement supprimé sans négociation possible.
Qui a dit que je vivais en démocratie?
RE: Que pensez vous de la découverte de faille ? - uriak - 27-08-2007
Faut être certain de son propre code, alors joshua
Ludvig, donc si je suis bien tu transmets test+ variables (le joueur a accès à $test) et il ne peut pas trouver d'autres combinaisons de variables générant test. Et il ne peut pas générer une autre valeur $test puisque la chaine n'est pas apparente. Le tout permet de ne pas faire un check des actions.
Au fait, est-ce que le fait de rafraichir des pages de post ou autres peut provoquer des ennuis pour les joueurs ? (risque de faire deux fois une action, par ex ?)
RE: Que pensez vous de la découverte de faille ? - Sephi-Chan - 27-08-2007
Si tu utilises un système de redirections par header, non. Autant dire que c'est indispensable pour un rendu pro, mais ça fait des pages en plus, ce qui est un moindre mal.
RE: Que pensez vous de la découverte de faille ? - uriak - 27-08-2007
Pourquoi des pages en plus par rapport à une version sans redirection ? Si tu transmet dans l'adresse le type de requête, je comprends mais sinon ?
RE: Que pensez vous de la découverte de faille ? - joshua - 27-08-2007
utilisez symfony, ilf ait ca tres bien :d