Ich bin gerade dabei mir eine Flash-Homepage zu erstellen. Ich möchte nun auch ein Login mit Flash erstellen. Am sichersten wär es, wenn man die User- und Passwort-Variablen aus einer PHP-Datei liest. Das ist kein Problem. Womit ich Schwierigkeiten habe: Was bringt sich ein Passwortschutz, wenn man sowieso mit einem Rechtsklick und dann im Kontextmenü "Vorwärts" auswählt zum nächsten Bild springen kann? Ich habe schon gesehen, dass man das Kontextmenü manipulieren kann. Ich weiß nur wei man neue Elemente hinzufügt, aber nich wie man sie entfernt. Kann mir dabei irgendjemand helfen? Oder kann man den Film auf andere Weise sicherer machen?
Flash-Film WIRKLICH mit Passwort schützen
- Themenstarter ohrfond
- Beginndatum
Tobias Menzel
Erfahrenes Mitglied
Hi,
Lösung 1 (die simple): Packe alle Deine Inhalte in einen MovieClip, so dass Du auf der Hauptzeitleiste nur noch einen Frame hast. Dann gibts im Kontextmenü auch keine Optionen zum Abspielen.
Lösung 2 (besser): Packe Deine geschützten Inhalte nicht in Deinen Hauptfilm, sondern lade sie mit loadMovie nach, wenn das Passwort korrekt eingegeben wurde. Auch SWF-Dateien kann man importieren und notfalls dekompilieren. Noch sicherer: Übergib nach der Passworteingabe mit PHP Deinem Hauptfilm Pfad und Dateinamen zum nachzuladenden Film, dann kommt auch keiner durch Dekompilieren auf den korrekten Pfad zu den geschützten Inhalten.
Gruß
.
Lösung 1 (die simple): Packe alle Deine Inhalte in einen MovieClip, so dass Du auf der Hauptzeitleiste nur noch einen Frame hast. Dann gibts im Kontextmenü auch keine Optionen zum Abspielen.
Lösung 2 (besser): Packe Deine geschützten Inhalte nicht in Deinen Hauptfilm, sondern lade sie mit loadMovie nach, wenn das Passwort korrekt eingegeben wurde. Auch SWF-Dateien kann man importieren und notfalls dekompilieren. Noch sicherer: Übergib nach der Passworteingabe mit PHP Deinem Hauptfilm Pfad und Dateinamen zum nachzuladenden Film, dann kommt auch keiner durch Dekompilieren auf den korrekten Pfad zu den geschützten Inhalten.
Gruß
.
Basileus
Erfahrenes Mitglied
Hrmpf,
1.
Es ist sowieso besser, auf _root nur einen Frame zu haben, gewünschtes Ergebnis bekommst du aber mit Stage.showMenu = false; auch billig nachgeworfen.
2.
Passwort (womöglich verschlüsselt -> Suchbegriff hier MD5 von Matze K.) an PHP senden, und von PHP die URL zurück an den Film - bei falschem Passwort gibts dann http://www.s c h e i s s e.de.
3.
Brute Force ist hier aber ein echtes Thema, wenn du es in deinem Script nicht bedenkst.
Keine Serverregel unterbindet das tausendemalige Aufrufen des Scriptes über den Flash Client oder über einen BOT. Das musst du schon selber machen.
Wenn BruteForce klappt, hast du im BrowserCache alle geladenen Dateien, sowie deren absolute URL, und wenn es nicht gerade hunderte sind, kann man dann die Pfade auch einfach setzen, nach dem decompilieren.
Du kannst dich höchstens dagegen sichern das jemand die so gewonnenen Daten ausnutzt, für eine SQL Injection etwa. Indem du mit Sessions arbeitest, kannst du beispielsweise die Dateien dynamisch benannt zur Laufzeit für jeden User neu schreiben, an einen Ort, zu dem es keine reguläre URL gibt, oder, weniger anstrengend in ein nur für diese Session existierendes Verzeichnis, oder ganz simpel in eine Sessionabhängige Datei.
Mit kluger Verschränkung von Passwort und Session kannst du so einen guten Schutz deiner DB aufbauen.
Grüsse
B
1.
Es ist sowieso besser, auf _root nur einen Frame zu haben, gewünschtes Ergebnis bekommst du aber mit Stage.showMenu = false; auch billig nachgeworfen.
2.
Passwort (womöglich verschlüsselt -> Suchbegriff hier MD5 von Matze K.) an PHP senden, und von PHP die URL zurück an den Film - bei falschem Passwort gibts dann http://www.s c h e i s s e.de.
3.
Brute Force ist hier aber ein echtes Thema, wenn du es in deinem Script nicht bedenkst.
Keine Serverregel unterbindet das tausendemalige Aufrufen des Scriptes über den Flash Client oder über einen BOT. Das musst du schon selber machen.
Wenn BruteForce klappt, hast du im BrowserCache alle geladenen Dateien, sowie deren absolute URL, und wenn es nicht gerade hunderte sind, kann man dann die Pfade auch einfach setzen, nach dem decompilieren.
Du kannst dich höchstens dagegen sichern das jemand die so gewonnenen Daten ausnutzt, für eine SQL Injection etwa. Indem du mit Sessions arbeitest, kannst du beispielsweise die Dateien dynamisch benannt zur Laufzeit für jeden User neu schreiben, an einen Ort, zu dem es keine reguläre URL gibt, oder, weniger anstrengend in ein nur für diese Session existierendes Verzeichnis, oder ganz simpel in eine Sessionabhängige Datei.
Mit kluger Verschränkung von Passwort und Session kannst du so einen guten Schutz deiner DB aufbauen.
Grüsse
B
