 [AdobeAir] Bezpieczeństwo aplikacji biznesowych |
| [AdobeAir] Bezpieczeństwo aplikacji biznesowych |
Post
#1
|
|
|
Grupa: Zarejestrowani Postów: 32 Pomógł: 2 Dołączył: 4.12.2004 Ostrzeżenie: (0%) 
 |
Witam,
ostatnio interesuję się tematem Adobe Air (html+javascript). Wszystko jest ładnie i pięknie do momentu dystrybucji plików - okazuje się że po instalacji wszystkie pliki js są dostępne dla użytkownika i edytowalne. Nie ma problemu z podmienieniem zapytania SELECT itp. trochę mnie to zaniepokoiło. Czy w takim razie można w Adobe Air faktycznie pisać aplikacje biznesowe które wymagają np. logowania skoro wszystko zwykły średnio-zaawansowany użytkownik internetu może sobie "poprzerabiać"? Spotkał się ktoś z was z podobnym tematem?? |
 |
 
|
 |
|
Post
#2
|
|
|
Grupa: Zarejestrowani Postów: 2 592 Pomógł: 445 Dołączył: 12.03.2007 Ostrzeżenie: (0%)
|
Każda aplikacja desktopowa jest do złamania, nawet te kompilowane. Zatem dając klientowi źródła (a tak jest w przypadku aplikacji air) trzeba się z tym liczyć, że może zechcieć je sobie podejrzeć.
Teraz, jeśli cała aplikacja, wraz z bazą jest u klienta, to nie ma co się martwić zapytaniami, bo i tak ma dostęp do całej bazy. Zabezpieczenie przed tym, żeby aplikacja się nie uruchomiła jest też tylko dla "dobrych ludzi", bo jeśli klient zechce to usunie fragmenty kodu odpowiedzialne za autoryzację i będzie używał nielegalnie. |
|
|
|
|
Post
#3
|
|
|
Grupa: Zarejestrowani Postów: 32 Pomógł: 2 Dołączył: 4.12.2004 Ostrzeżenie: (0%)
|
Cytat(vokiel @ 3.08.2010, 16:27:00 )  Każda aplikacja desktopowa jest do złamania, nawet te kompilowane. Zatem dając klientowi źródła (a tak jest w przypadku aplikacji air) trzeba się z tym liczyć, że może zechcieć je sobie podejrzeć. Wiadomo, że każdą aplikację można złamać. Chodzi tylko o to, aby nie dawać rozwiązań do łamania 'na tacy'. Cytat(vokiel @ 3.08.2010, 16:27:00 ) Teraz, jeśli cała aplikacja, wraz z bazą jest u klienta, to nie ma co się martwić zapytaniami, bo i tak ma dostęp do całej bazy. Zabezpieczenie przed tym, żeby aplikacja się nie uruchomiła jest też tylko dla "dobrych ludzi", bo jeśli klient zechce to usunie fragmenty kodu odpowiedzialne za autoryzację i będzie używał nielegalnie. No właśnie dlatego zastanawiam się czy jest możliwe aby jednak nie mógł obejść autoryzacji (przynajmniej 'laik'). Tylko coraz bardziej w to wątpię. Zastanawiam się jednak nad obfuscatorem dla javascriptu... zawsze to 'coś' po dłuższym zastanowieniu doszedłem do wniosku, że po autoryzacji mógłbym przekazywać (z serwera autoryzującego) obiekt JSON'a do aplikacji z funkcjami do obsługi systemu. Adobe Air nie posiada czegoś takiego jak firebug, więc podgląd danych zwracany przez serwer będzie utrudniony (oczywiście nie niemożliwy). Chyba jest to najbezpieczniejsze rozwiązanie (na jakie wpadłem). Chyba że ktoś ma inny pomysł... Ten post edytował puc 3.08.2010, 22:16:20 |
|
|
|
puc [AdobeAir] Bezpieczeństwo aplikacji biznesowych 3.08.2010, 14:11:01 
erix Hmm, uważam że szukasz rozwiązania nie tu, gdzie t... 3.08.2010, 14:31:48 puc Jasne, mogę wymienić klucze itp. ale chciałem aby ... 3.08.2010, 14:46:28 erix Cytatże jeśli status autoryzacji będzie przetrzymy... 3.08.2010, 15:32:02 puc wiem, że nie powinno się statusu logowania przetrz... 3.08.2010, 15:46:00 erix No to mów, że chodzi o mechanizm licencji.
http:/... 3.08.2010, 17:20:41 vokiel Wszystko co zrobisz może jedynie utrudnić trochę z... 4.08.2010, 09:00:58 
batman Cytat(puc @ 4.08.2010, 10:00:23 ) Ado... 4.08.2010, 09:55:44  |
|
Aktualny czas: 27.12.2025 - 20:23 |
