обеспечение безопасности: клиент-сервер.

[horal]

обеспечение безопасности: клиент-сервер.

Приветствую всех!

хочу спросить как обеспечить безопасноть для задачи, где клиент (игра: апплет или java-игра),

обменивается данными с сервером.

На стороне сервера необходимо распознать авторизованного клиента.

Решался этот вопрос через передачу sid каждый раз.

Понятно дело, что это не секурно.


Возможные варианты:

1) делать привязку к IP

+ передавать клиенту prefix_md5(sid)_postfix
и каждый раз генерировать новый код.

Можно ли сделать что-то вроде пассивного режима в клиенте ( applet / midlet ) (как через FTP )

Как еще можно решить проблему аутентификации?

спасибо .

 

[cranchzerro]

Re: обеспечение безопасности: клиент-сервер.

Автор оригинала: horal
Можно ли сделать что-то вроде пассивного режима в клиенте ( applet / midlet ) (как через FTP )

этто, прошу прощение, но цитируемая фраза прожгла до основания...
вобщем, спасибо за приподнятое настроение, с меня ссылка:

http://www.google.com.ua/search?hl=uk&q=безопасность+internet-приложений&btnG=Пошук+Google&meta=

 

[dimagolov]

Решался этот вопрос через передачу sid каждый раз.
Понятно дело, что это не секурно.

чем, можно узнать?

 

[horal]

Автор оригинала: dimagolov
чем, можно узнать?

Ээм, может я ошибаюсь, но вроде как существует возможность такого, ммм, через XSS/

вобщем, спасибо, порылся в инете, прочел что делают в Битрикс: http://www.softkey.info/reviews/review2287.php

- делают привязку в IP, в нашем случае мы можем еще сделать привязку к user-agent и невозможность доступа через браузер.

спасибо за критику

 

[kode]

а о шифровании данных ты не задумывался?

 

[cranchzerro]

да нет, благодарить пока рано
имелось ввиду просто SSL, как необходимый минимум.

И не вздумайте форсировать привязку к ИПу, такой способ можно расценивать только как опция "по-желанию" если чел ходит под своим реальным ИПом.

Если обычных способов шифрования вам недостаточно, подумайте о привязке к... железу, для этого прийдётся разработать дополнительные АктивИксы, но сие решение не кроссбраузерное и жутко геморное, как для онлайн-игр (если это не казино).

вобщем, незаморачивайтесь, почитайте про SSL

 

[horal]

это казино

-~{}~ 12.08.08 11:32:

SSL Затруднительно на мобильном клиенте.

-~{}~ 12.08.08 11:33:

Автор оригинала: cranchzerro

И не вздумайте форсировать привязку к ИПу, такой способ можно расценивать только как опция "по-желанию" если чел ходит под своим реальным ИПом.

почему нельзя форсировать под IP?

 

[est-in]

Все операторы мобильной связи и все провайдеры пускают клиентов в мир через один или несколько IP.

>> SSL Затруднительно на мобильном клиенте.
Вы что сами будете реализовывать SSL или алгоритм шифровки?! Все уже сделано до вас...


cranchzerro>> вобщем, незаморачивайтесь, почитайте про SSL


P.S. адресок-то казино скинте потом... поиграем Ж)

 

[kode]

Автор оригинала: est-in
P.S. адресок-то казино скинте потом... повзламываем Ж)

fixed for truth