Cara... eu testei de todo jeito... Só se o cara souber como descriptografar esse negócio... fora isso não sei de outro jeito de descobrir...
Agora imaginemos o cenário: 1- Se o usuário faz uma requisição de dados, com certeza ele sabe os dados que ele mesmo digitou. 2- O resultado de uma requisição geralmente é mostrado para o usuário... Nesse cenário, não faz muita diferença esconder a informação... é claro que dados sigilosos que podem comprometer a segurança ou até mesmo a própria aplicação não devem estar DENTRO do swf por conta de descompilação em algum nivel ou por conta de um danadinho igual o Charles... o ideal é usar autenticação a nível de dominios no services-config, permitindo somente dominios conhecidos de acessar o conteúdo. Bem... Só nesse cenário não vejo muito sentido em fiar preocupado com a informação que vai trafegar... agora, se imaginarmos que se o charles pegou, qualquer ferramenta pra capturar pacotes na rede como um Wireshark da vida vai pegar também e aí que mora o perigo... pois mesmo que não trafegue dados que comprometam a aplicação, vai trafegar os dados do usuário como login e senha, totalmente à mostra e podem ser capturados... Então, nunca é demais ter alguma segurança a mais... ficar fazendo hashes MD5 ou SHA1 no lado flex nos campos de senha não resolve, pois ainda existe a possibilidade de captura por sniffers na rede... então usar HTTPS é bem interessante. Fica aqui a minha opnião... Em 12 de janeiro de 2012 15:19, Helio Antonio Francisco Silva < [email protected]> escreveu: > haha botei HTTPS ssl delicia demais, codigo tudo zuado, nao tem como o > cara pegar agora correto ? :) > > flex mais uma vez seguro :) > > > 2012/1/12 Wemerson Couto Guimarães <[email protected]> > >> realmente... nem tudo se descompila... mas muita coisa consegue-se... e >> aí se tem uma chave de criptografia ali, uma senha escondidinha acolá... >> acaba que alguem consegue pegar... então o certo é não deixar nada que >> comprometa a segurança dentro do swf... >> >> Fiz uns testes aqui no meu servidor ssl com uma página em php retornando >> um xml conforme uma solixitação em HTTPService... ou seja, totalmente >> inseguro... tanto o Request, quanto a requisição foram satisfatórias... >> >> HTTPService1.url = "https://localhost/testehttps.php";; >> HTTPService1.send( { "a": 1, "b": 2 } ); >> >> No lado PHP: >> >> <?php >> >> echo '<?xml version="1.0" encoding="utf-8"?>'; >> echo "<xml>"; >> foreach($_POST as $key => $value){ >> echo "<$key>$value</$key>"; >> } >> echo "</xml>"; >> >> o retorno é o xml no flex, porém irreconhecível no charles.: >> >> <?xml version="1.0" encoding="utf-8"?> >> <xml> >> <a>1</a> >> <b>2</b> >> </xml> >> >> Aqui está o resultado no charles: >> >> request: >> ----------- >> CONNECT localhost:443 HTTP/1.1 >> User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:9.0.1) Gecko/20100101 >> Firefox/9.0.1 >> Proxy-Connection: keep-alive >> Host: localhost >> >> {texto zuado... o gmail nem reconheceu... rs.} >> >> >> response: >> ------------- >> {texto também zuado na resposta...} >> >> >> >> Fica agora só a pergunta... esse resultado é satisfatório na questão de >> segurança ou ainda é fácil de ser quebrado? >> >> >> >> >> >> >> Em 12 de janeiro de 2012 11:08, Helio Antonio Francisco Silva < >> [email protected]> escreveu: >> >> cara nao e bem assim tambem, ja usei decompiler por muito tempo e voce >>> nao consegue 100% do resultado de volta. mesmo por que muitas informações >>> se perdem quando gera o SWF, para so ficar o que precisa pra rodar e assim >>> ficar mais leve e assim vai. >>> Ver o que e trafegado nao vejo tanto problema uma vez que no HTML tambem >>> fica, ai eu teria de encriptografar as informações; mas se o HTTPS ja >>> zua-se os dados no proxy ia ser uma mao na roda. me pouparia trampo. >>> >>> >>> 2012/1/12 Wemerson Couto Guimarães <[email protected]> >>> >>>> É amigo... swf é totalmente inseguro... primeiro porque consegue-se >>>> descompilar o bicho em algum nivel... segundo que com programas como esse >>>> maluco do Charles consegue-se ver tudo que vem nas requisições... >>>> >>>> Inclusive pega até requisições com method POST... >>>> >>>> Acredito que só mesmo trafegando informações criptografadas... >>>> >>>> Fiz um teste aqui num servidor HTTPS aleatório e as informações >>>> trafegadas estavam em formato desconhecido, provavelmente criptografado... >>>> então acredito que é esse o caminho... >>>> >>>> Em 12 de janeiro de 2012 10:17, Helio Antonio Francisco Silva < >>>> [email protected]> escreveu: >>>> >>>>> Recentemente um companheiro aqui do forum, me mostrou esse programa >>>>> que por Sinal muito bom. >>>>> Agora percebi que ele mostra o result list que eu mando de volta no >>>>> flex, tem como eu bloquear isso desses programas pegarem ? >>>>> Fui em varios sites e acabei vendo o mesmo problema. como s ebloqueia >>>>> isso, HTTPS ? tem alguma forma ? >>>>> >>>>> abraços. >>>>> >>>>> >>>>> -- >>>>> *Hélio Antonio Francisco Silva* >>>>> Desenvolvedor web >>>>> Certificado Flash developer >>>>> Certificado Flash Design >>>>> Certificado web developer >>>>> Consultor Microsiga / Totvs >>>>> Desenvolvedor ADVPL / ASP >>>>> Analista de sistemas e ERP Sênior. >>>>> >>>>> -- >>>>> Você recebeu esta mensagem porque está inscrito na lista "flexdev" >>>>> Para enviar uma mensagem, envie um e-mail para >>>>> [email protected] >>>>> Para sair da lista, envie um email em branco para >>>>> [email protected] >>>>> Mais opções estão disponíveis em >>>>> http://groups.google.com/group/flexdev >>>> >>>> >>>> >>>> >>>> -- >>>> Wemerson Guimarães >>>> Rio Verde - Go - Brasil >>>> >>>> -- >>>> Você recebeu esta mensagem porque está inscrito na lista "flexdev" >>>> Para enviar uma mensagem, envie um e-mail para [email protected] >>>> Para sair da lista, envie um email em branco para >>>> [email protected] >>>> Mais opções estão disponíveis em http://groups.google.com/group/flexdev >>> >>> >>> >>> >>> -- >>> *Hélio Antonio Francisco Silva* >>> Desenvolvedor web >>> Certificado Flash developer >>> Certificado Flash Design >>> Certificado web developer >>> Consultor Microsiga / Totvs >>> Desenvolvedor ADVPL / ASP >>> Analista de sistemas e ERP Sênior. >>> >>> -- >>> Você recebeu esta mensagem porque está inscrito na lista "flexdev" >>> Para enviar uma mensagem, envie um e-mail para [email protected] >>> Para sair da lista, envie um email em branco para >>> [email protected] >>> Mais opções estão disponíveis em http://groups.google.com/group/flexdev >>> >> >> >> >> -- >> Wemerson Guimarães >> Rio Verde - Go - Brasil >> >> -- >> Você recebeu esta mensagem porque está inscrito na lista "flexdev" >> Para enviar uma mensagem, envie um e-mail para [email protected] >> Para sair da lista, envie um email em branco para >> [email protected] >> Mais opções estão disponíveis em http://groups.google.com/group/flexdev >> > > > > -- > *Hélio Antonio Francisco Silva* > Desenvolvedor web > Certificado Flash developer > Certificado Flash Design > Certificado web developer > Consultor Microsiga / Totvs > Desenvolvedor ADVPL / ASP > Analista de sistemas e ERP Sênior. > > -- > Você recebeu esta mensagem porque está inscrito na lista "flexdev" > Para enviar uma mensagem, envie um e-mail para [email protected] > Para sair da lista, envie um email em branco para > [email protected] > Mais opções estão disponíveis em http://groups.google.com/group/flexdev > -- Wemerson Guimarães Rio Verde - Go - Brasil -- Você recebeu esta mensagem porque está inscrito na lista "flexdev" Para enviar uma mensagem, envie um e-mail para [email protected] Para sair da lista, envie um email em branco para [email protected] Mais opções estão disponíveis em http://groups.google.com/group/flexdev
