super apoiada e ja to usando literalmente like a boss. :)
2012/1/12 Wemerson Couto Guimarães <[email protected]> > Cara... eu testei de todo jeito... > > Só se o cara souber como descriptografar esse negócio... fora isso não sei > de outro jeito de descobrir... > > Agora imaginemos o cenário: > > 1- Se o usuário faz uma requisição de dados, com certeza ele sabe os dados > que ele mesmo digitou. > 2- O resultado de uma requisição geralmente é mostrado para o usuário... > > Nesse cenário, não faz muita diferença esconder a informação... é claro > que dados sigilosos que podem comprometer a segurança ou até mesmo a > própria aplicação não devem estar DENTRO do swf por conta de descompilação > em algum nivel ou por conta de um danadinho igual o Charles... o ideal é > usar autenticação a nível de dominios no services-config, permitindo > somente dominios conhecidos de acessar o conteúdo. > > Bem... Só nesse cenário não vejo muito sentido em fiar preocupado com a > informação que vai trafegar... agora, se imaginarmos que se o charles > pegou, qualquer ferramenta pra capturar pacotes na rede como um Wireshark > da vida vai pegar também e aí que mora o perigo... pois mesmo que não > trafegue dados que comprometam a aplicação, vai trafegar os dados do > usuário como login e senha, totalmente à mostra e podem ser capturados... > > Então, nunca é demais ter alguma segurança a mais... ficar fazendo hashes > MD5 ou SHA1 no lado flex nos campos de senha não resolve, pois ainda existe > a possibilidade de captura por sniffers na rede... então usar HTTPS é bem > interessante. > > > Fica aqui a minha opnião... > > Em 12 de janeiro de 2012 15:19, Helio Antonio Francisco Silva < > [email protected]> escreveu: > > haha botei HTTPS ssl delicia demais, codigo tudo zuado, nao tem como o >> cara pegar agora correto ? :) >> >> flex mais uma vez seguro :) >> >> >> 2012/1/12 Wemerson Couto Guimarães <[email protected]> >> >>> realmente... nem tudo se descompila... mas muita coisa consegue-se... e >>> aí se tem uma chave de criptografia ali, uma senha escondidinha acolá... >>> acaba que alguem consegue pegar... então o certo é não deixar nada que >>> comprometa a segurança dentro do swf... >>> >>> Fiz uns testes aqui no meu servidor ssl com uma página em php retornando >>> um xml conforme uma solixitação em HTTPService... ou seja, totalmente >>> inseguro... tanto o Request, quanto a requisição foram satisfatórias... >>> >>> HTTPService1.url = "https://localhost/testehttps.php";; >>> HTTPService1.send( { "a": 1, "b": 2 } ); >>> >>> No lado PHP: >>> >>> <?php >>> >>> echo '<?xml version="1.0" encoding="utf-8"?>'; >>> echo "<xml>"; >>> foreach($_POST as $key => $value){ >>> echo "<$key>$value</$key>"; >>> } >>> echo "</xml>"; >>> >>> o retorno é o xml no flex, porém irreconhecível no charles.: >>> >>> <?xml version="1.0" encoding="utf-8"?> >>> <xml> >>> <a>1</a> >>> <b>2</b> >>> </xml> >>> >>> Aqui está o resultado no charles: >>> >>> request: >>> ----------- >>> CONNECT localhost:443 HTTP/1.1 >>> User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:9.0.1) Gecko/20100101 >>> Firefox/9.0.1 >>> Proxy-Connection: keep-alive >>> Host: localhost >>> >>> {texto zuado... o gmail nem reconheceu... rs.} >>> >>> >>> response: >>> ------------- >>> {texto também zuado na resposta...} >>> >>> >>> >>> Fica agora só a pergunta... esse resultado é satisfatório na questão de >>> segurança ou ainda é fácil de ser quebrado? >>> >>> >>> >>> >>> >>> >>> Em 12 de janeiro de 2012 11:08, Helio Antonio Francisco Silva < >>> [email protected]> escreveu: >>> >>> cara nao e bem assim tambem, ja usei decompiler por muito tempo e voce >>>> nao consegue 100% do resultado de volta. mesmo por que muitas informações >>>> se perdem quando gera o SWF, para so ficar o que precisa pra rodar e assim >>>> ficar mais leve e assim vai. >>>> Ver o que e trafegado nao vejo tanto problema uma vez que no HTML >>>> tambem fica, ai eu teria de encriptografar as informações; mas se o HTTPS >>>> ja zua-se os dados no proxy ia ser uma mao na roda. me pouparia trampo. >>>> >>>> >>>> 2012/1/12 Wemerson Couto Guimarães <[email protected]> >>>> >>>>> É amigo... swf é totalmente inseguro... primeiro porque consegue-se >>>>> descompilar o bicho em algum nivel... segundo que com programas como esse >>>>> maluco do Charles consegue-se ver tudo que vem nas requisições... >>>>> >>>>> Inclusive pega até requisições com method POST... >>>>> >>>>> Acredito que só mesmo trafegando informações criptografadas... >>>>> >>>>> Fiz um teste aqui num servidor HTTPS aleatório e as informações >>>>> trafegadas estavam em formato desconhecido, provavelmente criptografado... >>>>> então acredito que é esse o caminho... >>>>> >>>>> Em 12 de janeiro de 2012 10:17, Helio Antonio Francisco Silva < >>>>> [email protected]> escreveu: >>>>> >>>>>> Recentemente um companheiro aqui do forum, me mostrou esse programa >>>>>> que por Sinal muito bom. >>>>>> Agora percebi que ele mostra o result list que eu mando de volta no >>>>>> flex, tem como eu bloquear isso desses programas pegarem ? >>>>>> Fui em varios sites e acabei vendo o mesmo problema. como s ebloqueia >>>>>> isso, HTTPS ? tem alguma forma ? >>>>>> >>>>>> abraços. >>>>>> >>>>>> >>>>>> -- >>>>>> *Hélio Antonio Francisco Silva* >>>>>> Desenvolvedor web >>>>>> Certificado Flash developer >>>>>> Certificado Flash Design >>>>>> Certificado web developer >>>>>> Consultor Microsiga / Totvs >>>>>> Desenvolvedor ADVPL / ASP >>>>>> Analista de sistemas e ERP Sênior. >>>>>> >>>>>> -- >>>>>> Você recebeu esta mensagem porque está inscrito na lista "flexdev" >>>>>> Para enviar uma mensagem, envie um e-mail para >>>>>> [email protected] >>>>>> Para sair da lista, envie um email em branco para >>>>>> [email protected] >>>>>> Mais opções estão disponíveis em >>>>>> http://groups.google.com/group/flexdev >>>>> >>>>> >>>>> >>>>> >>>>> -- >>>>> Wemerson Guimarães >>>>> Rio Verde - Go - Brasil >>>>> >>>>> -- >>>>> Você recebeu esta mensagem porque está inscrito na lista "flexdev" >>>>> Para enviar uma mensagem, envie um e-mail para >>>>> [email protected] >>>>> Para sair da lista, envie um email em branco para >>>>> [email protected] >>>>> Mais opções estão disponíveis em >>>>> http://groups.google.com/group/flexdev >>>> >>>> >>>> >>>> >>>> -- >>>> *Hélio Antonio Francisco Silva* >>>> Desenvolvedor web >>>> Certificado Flash developer >>>> Certificado Flash Design >>>> Certificado web developer >>>> Consultor Microsiga / Totvs >>>> Desenvolvedor ADVPL / ASP >>>> Analista de sistemas e ERP Sênior. >>>> >>>> -- >>>> Você recebeu esta mensagem porque está inscrito na lista "flexdev" >>>> Para enviar uma mensagem, envie um e-mail para [email protected] >>>> Para sair da lista, envie um email em branco para >>>> [email protected] >>>> Mais opções estão disponíveis em http://groups.google.com/group/flexdev >>>> >>> >>> >>> >>> -- >>> Wemerson Guimarães >>> Rio Verde - Go - Brasil >>> >>> -- >>> Você recebeu esta mensagem porque está inscrito na lista "flexdev" >>> Para enviar uma mensagem, envie um e-mail para [email protected] >>> Para sair da lista, envie um email em branco para >>> [email protected] >>> Mais opções estão disponíveis em http://groups.google.com/group/flexdev >>> >> >> >> >> -- >> *Hélio Antonio Francisco Silva* >> Desenvolvedor web >> Certificado Flash developer >> Certificado Flash Design >> Certificado web developer >> Consultor Microsiga / Totvs >> Desenvolvedor ADVPL / ASP >> Analista de sistemas e ERP Sênior. >> >> -- >> Você recebeu esta mensagem porque está inscrito na lista "flexdev" >> Para enviar uma mensagem, envie um e-mail para [email protected] >> Para sair da lista, envie um email em branco para >> [email protected] >> Mais opções estão disponíveis em http://groups.google.com/group/flexdev >> > > > > -- > Wemerson Guimarães > Rio Verde - Go - Brasil > > -- > Você recebeu esta mensagem porque está inscrito na lista "flexdev" > Para enviar uma mensagem, envie um e-mail para [email protected] > Para sair da lista, envie um email em branco para > [email protected] > Mais opções estão disponíveis em http://groups.google.com/group/flexdev > -- *Hélio Antonio Francisco Silva* Desenvolvedor web Certificado Flash developer Certificado Flash Design Certificado web developer Consultor Microsiga / Totvs Desenvolvedor ADVPL / ASP Analista de sistemas e ERP Sênior. -- Você recebeu esta mensagem porque está inscrito na lista "flexdev" Para enviar uma mensagem, envie um e-mail para [email protected] Para sair da lista, envie um email em branco para [email protected] Mais opções estão disponíveis em http://groups.google.com/group/flexdev
