עיצוב אפליקציות פלאש מאובטחות. נובמבר 2010 פרקים במאמר:

עיצוב אפליקציות פלאש מאובטחות - נעילה בעלייה

בניית אפליקציית פלאש עם סיסמאת פתיחה

מטרתה של טכניקה זו היא לוודא כי אפליקציית הפלאש אכן ממוקמת בשרת מורשה.
מה שקורה הלכה למעשה, הוא שקוד ההטמעה של האפליקצייה מוסר לקובץ הפלאש סיסמא ייחודית עם עלייתו. אפליקציית הפלאש מבצעת את ייעודה רק במידה והסיסמא עוברת במלואה.
פורץ המעוניין להטמיע את האפליקציה באתרו יאלץ להגיע גם לקוד ההטמעה הנכון כדי לאתחל את אפליקציית הפלאש בהצלחה. (איך לבחור אתר? בניית אתר פלאש).

גם אם הפורץ משתמש בקוד ההטמעה הנכון – עדיין ניתן להגיע בקלות רבה, על ידי שימוש פשוט בגוגל, לרשימת האתרים העושים שימוש בקוד הטמעה זה, ולבדוק אילו מהם מורשים, ואילו בחרו לעקוף את תהליך עיצוב אפליקציית הפלאש, ופשוט לגנוב אותה.

עיצוב אפליקציית פלאש הבודקת את מיקומה

מטרתה של טכניקה זו היא לוודא כי האפליקצייה אכן יושבת בשרת החוקי.
אפליקציית הפלאש בודקת את כתובת ה-url שבתוכה היא ממוקמת, ובמידה וכתובת זו אינה מורשה, האפליקצייה מתנתקת, ומדווחת למפתחה על נסיון הפריצה וכתובת השרת העבריין.

ניתן, כמובן, גם להוציא את רשימת השרתים המורשים מקובץ הפלאש עצמו, ולאחסן אותה בבסיס הנתונים שעל שרת הבית. כך ניתן להוסיף ולהחסיר שרתים מורשים, מבלי הצורך להחליף את קבצי המקור של אפליקציות הפלאש, היושבים אצל הלקוחות באתרים המורשים השונים.

בניית אפליקציית פלאש עם הפצצת המטמון

הפצצת מטמון היא עוד טכניקה חביבה שמטרתה למנוע מגולשים את האפשרות להשתמש בתמונות מסך ללא אישור. הפצצת המטמון עושה פעולה פשוטה – היא דוחפת למטמון במחשב המשתמש ערך כלשהו בקצב של מאות פעמים בשנייה. אם המשתמש מנסה להשתמש בפונקציית printscreen כדי ללכוד תמונת מסך של אפליקציית הפלאש, האפליקצייה "דורסת" את השמירה הזאת תוך שבריר שנייה עם שמירה משל עצמה – הנתונה לשליטת מפתח האפליקצייה.

החבאה תלת מימדית

זוהי טכניקה העושה שימוש אלגנטי באופי המרובד המיוחד של פלאש.
בגלל שפלאש התחילה כתוכנת אנימציה, המערך של קובץ הפלאש כולל נקודות ייחוס על ציר ה-x וה-y של הקובץ, כמו גם על ציר העומק וציר הזמן. מתכנתי פלאש עם הבנה באנימציה יכולים "להחביא" חתיכות קוד בפינות חשוכות בקובץ הפלאש, פינות שרק פורץ עם הכשרה דומה יוכל למצוא.

בגלל שרוב הפורצים מגיעים מכיוון של תכנות, ולא מכיוון של אנימציה, אין להם את הכלים המתאימים או את החשיבה הנכונה המאפשרת למצוא חתיכות קוד כאלו, או בכלל לקחת בחשבון את קיומן. טכניקה זו יעילה במיוחד כמעלימת קוד. אם הקוד המועלם הוא האחראי על אתראה על פריצה וניתוק האפליקצייה, הרי שהלכה למעשה לא ניתן להשתמש באפליקציית הפלאש, גם אם עולה בידי הפורץ לחדור לתוכה, ולבטל את מסך האובפוסקציה.
עיצוב אתרים וורדפרס
את/ה מוזמן/ת ליצור קשר ולשמוע איך אוכל להתאים לאפליקציית הפלאש שלך חבילת אבטחה יעילה וזולה.

עיצוב אתרעיצוב אתרים