Olá pessoal. Só um detalhe a ressaltar, trafegar dados como texto plano por http seja via swf, ajax, etc... seja post ou get ou etc.. sempre é inseguro, justamente por isso que existe as criptografias da vida, o SSL HTTPS. Não tem a ver com flex ou qualquer outra linguagem.
Como um professou meu sempre dizia, para ter um sistema 100% seguro, é preciso colocá-lo em um servidor com chave, colocar o servidor em um rack com cadeado, o rack tem que estar em uma sala com cameras e vigilância 24X7X365 e esta sala tem que estar em um bunker no mínimo a 100m de profundidade do solo e o principal, não esquecer de tirar o cabo de rede. rs abs, Danilo Suares Em 12 de janeiro de 2012 15:51, Helio Antonio Francisco Silva < [email protected]> escreveu: > super apoiada e ja to usando literalmente like a boss. :) > > > > 2012/1/12 Wemerson Couto Guimarães <[email protected]> > >> Cara... eu testei de todo jeito... >> >> Só se o cara souber como descriptografar esse negócio... fora isso não >> sei de outro jeito de descobrir... >> >> Agora imaginemos o cenário: >> >> 1- Se o usuário faz uma requisição de dados, com certeza ele sabe os >> dados que ele mesmo digitou. >> 2- O resultado de uma requisição geralmente é mostrado para o usuário... >> >> Nesse cenário, não faz muita diferença esconder a informação... é claro >> que dados sigilosos que podem comprometer a segurança ou até mesmo a >> própria aplicação não devem estar DENTRO do swf por conta de descompilação >> em algum nivel ou por conta de um danadinho igual o Charles... o ideal é >> usar autenticação a nível de dominios no services-config, permitindo >> somente dominios conhecidos de acessar o conteúdo. >> >> Bem... Só nesse cenário não vejo muito sentido em fiar preocupado com a >> informação que vai trafegar... agora, se imaginarmos que se o charles >> pegou, qualquer ferramenta pra capturar pacotes na rede como um Wireshark >> da vida vai pegar também e aí que mora o perigo... pois mesmo que não >> trafegue dados que comprometam a aplicação, vai trafegar os dados do >> usuário como login e senha, totalmente à mostra e podem ser capturados... >> >> Então, nunca é demais ter alguma segurança a mais... ficar fazendo hashes >> MD5 ou SHA1 no lado flex nos campos de senha não resolve, pois ainda existe >> a possibilidade de captura por sniffers na rede... então usar HTTPS é bem >> interessante. >> >> >> Fica aqui a minha opnião... >> >> Em 12 de janeiro de 2012 15:19, Helio Antonio Francisco Silva < >> [email protected]> escreveu: >> >> haha botei HTTPS ssl delicia demais, codigo tudo zuado, nao tem como o >>> cara pegar agora correto ? :) >>> >>> flex mais uma vez seguro :) >>> >>> >>> 2012/1/12 Wemerson Couto Guimarães <[email protected]> >>> >>>> realmente... nem tudo se descompila... mas muita coisa consegue-se... e >>>> aí se tem uma chave de criptografia ali, uma senha escondidinha acolá... >>>> acaba que alguem consegue pegar... então o certo é não deixar nada que >>>> comprometa a segurança dentro do swf... >>>> >>>> Fiz uns testes aqui no meu servidor ssl com uma página em php >>>> retornando um xml conforme uma solixitação em HTTPService... ou seja, >>>> totalmente inseguro... tanto o Request, quanto a requisição foram >>>> satisfatórias... >>>> >>>> HTTPService1.url = "https://localhost/testehttps.php";; >>>> HTTPService1.send( { "a": 1, "b": 2 } ); >>>> >>>> No lado PHP: >>>> >>>> <?php >>>> >>>> echo '<?xml version="1.0" encoding="utf-8"?>'; >>>> echo "<xml>"; >>>> foreach($_POST as $key => $value){ >>>> echo "<$key>$value</$key>"; >>>> } >>>> echo "</xml>"; >>>> >>>> o retorno é o xml no flex, porém irreconhecível no charles.: >>>> >>>> <?xml version="1.0" encoding="utf-8"?> >>>> <xml> >>>> <a>1</a> >>>> <b>2</b> >>>> </xml> >>>> >>>> Aqui está o resultado no charles: >>>> >>>> request: >>>> ----------- >>>> CONNECT localhost:443 HTTP/1.1 >>>> User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:9.0.1) >>>> Gecko/20100101 Firefox/9.0.1 >>>> Proxy-Connection: keep-alive >>>> Host: localhost >>>> >>>> {texto zuado... o gmail nem reconheceu... rs.} >>>> >>>> >>>> response: >>>> ------------- >>>> {texto também zuado na resposta...} >>>> >>>> >>>> >>>> Fica agora só a pergunta... esse resultado é satisfatório na questão de >>>> segurança ou ainda é fácil de ser quebrado? >>>> >>>> >>>> >>>> >>>> >>>> >>>> Em 12 de janeiro de 2012 11:08, Helio Antonio Francisco Silva < >>>> [email protected]> escreveu: >>>> >>>> cara nao e bem assim tambem, ja usei decompiler por muito tempo e voce >>>>> nao consegue 100% do resultado de volta. mesmo por que muitas informações >>>>> se perdem quando gera o SWF, para so ficar o que precisa pra rodar e assim >>>>> ficar mais leve e assim vai. >>>>> Ver o que e trafegado nao vejo tanto problema uma vez que no HTML >>>>> tambem fica, ai eu teria de encriptografar as informações; mas se o HTTPS >>>>> ja zua-se os dados no proxy ia ser uma mao na roda. me pouparia trampo. >>>>> >>>>> >>>>> 2012/1/12 Wemerson Couto Guimarães <[email protected]> >>>>> >>>>>> É amigo... swf é totalmente inseguro... primeiro porque consegue-se >>>>>> descompilar o bicho em algum nivel... segundo que com programas como esse >>>>>> maluco do Charles consegue-se ver tudo que vem nas requisições... >>>>>> >>>>>> Inclusive pega até requisições com method POST... >>>>>> >>>>>> Acredito que só mesmo trafegando informações criptografadas... >>>>>> >>>>>> Fiz um teste aqui num servidor HTTPS aleatório e as informações >>>>>> trafegadas estavam em formato desconhecido, provavelmente >>>>>> criptografado... >>>>>> então acredito que é esse o caminho... >>>>>> >>>>>> Em 12 de janeiro de 2012 10:17, Helio Antonio Francisco Silva < >>>>>> [email protected]> escreveu: >>>>>> >>>>>>> Recentemente um companheiro aqui do forum, me mostrou esse programa >>>>>>> que por Sinal muito bom. >>>>>>> Agora percebi que ele mostra o result list que eu mando de volta no >>>>>>> flex, tem como eu bloquear isso desses programas pegarem ? >>>>>>> Fui em varios sites e acabei vendo o mesmo problema. como s >>>>>>> ebloqueia isso, HTTPS ? tem alguma forma ? >>>>>>> >>>>>>> abraços. >>>>>>> >>>>>>> >>>>>>> -- >>>>>>> *Hélio Antonio Francisco Silva* >>>>>>> Desenvolvedor web >>>>>>> Certificado Flash developer >>>>>>> Certificado Flash Design >>>>>>> Certificado web developer >>>>>>> Consultor Microsiga / Totvs >>>>>>> Desenvolvedor ADVPL / ASP >>>>>>> Analista de sistemas e ERP Sênior. >>>>>>> >>>>>>> -- >>>>>>> Você recebeu esta mensagem porque está inscrito na lista "flexdev" >>>>>>> Para enviar uma mensagem, envie um e-mail para >>>>>>> [email protected] >>>>>>> Para sair da lista, envie um email em branco para >>>>>>> [email protected] >>>>>>> Mais opções estão disponíveis em >>>>>>> http://groups.google.com/group/flexdev >>>>>> >>>>>> >>>>>> >>>>>> >>>>>> -- >>>>>> Wemerson Guimarães >>>>>> Rio Verde - Go - Brasil >>>>>> >>>>>> -- >>>>>> Você recebeu esta mensagem porque está inscrito na lista "flexdev" >>>>>> Para enviar uma mensagem, envie um e-mail para >>>>>> [email protected] >>>>>> Para sair da lista, envie um email em branco para >>>>>> [email protected] >>>>>> Mais opções estão disponíveis em >>>>>> http://groups.google.com/group/flexdev >>>>> >>>>> >>>>> >>>>> >>>>> -- >>>>> *Hélio Antonio Francisco Silva* >>>>> Desenvolvedor web >>>>> Certificado Flash developer >>>>> Certificado Flash Design >>>>> Certificado web developer >>>>> Consultor Microsiga / Totvs >>>>> Desenvolvedor ADVPL / ASP >>>>> Analista de sistemas e ERP Sênior. >>>>> >>>>> -- >>>>> Você recebeu esta mensagem porque está inscrito na lista "flexdev" >>>>> Para enviar uma mensagem, envie um e-mail para >>>>> [email protected] >>>>> Para sair da lista, envie um email em branco para >>>>> [email protected] >>>>> Mais opções estão disponíveis em >>>>> http://groups.google.com/group/flexdev >>>>> >>>> >>>> >>>> >>>> -- >>>> Wemerson Guimarães >>>> Rio Verde - Go - Brasil >>>> >>>> -- >>>> Você recebeu esta mensagem porque está inscrito na lista "flexdev" >>>> Para enviar uma mensagem, envie um e-mail para [email protected] >>>> Para sair da lista, envie um email em branco para >>>> [email protected] >>>> Mais opções estão disponíveis em http://groups.google.com/group/flexdev >>>> >>> >>> >>> >>> -- >>> *Hélio Antonio Francisco Silva* >>> Desenvolvedor web >>> Certificado Flash developer >>> Certificado Flash Design >>> Certificado web developer >>> Consultor Microsiga / Totvs >>> Desenvolvedor ADVPL / ASP >>> Analista de sistemas e ERP Sênior. >>> >>> -- >>> Você recebeu esta mensagem porque está inscrito na lista "flexdev" >>> Para enviar uma mensagem, envie um e-mail para [email protected] >>> Para sair da lista, envie um email em branco para >>> [email protected] >>> Mais opções estão disponíveis em http://groups.google.com/group/flexdev >>> >> >> >> >> -- >> Wemerson Guimarães >> Rio Verde - Go - Brasil >> >> -- >> Você recebeu esta mensagem porque está inscrito na lista "flexdev" >> Para enviar uma mensagem, envie um e-mail para [email protected] >> Para sair da lista, envie um email em branco para >> [email protected] >> Mais opções estão disponíveis em http://groups.google.com/group/flexdev >> > > > > -- > *Hélio Antonio Francisco Silva* > Desenvolvedor web > Certificado Flash developer > Certificado Flash Design > Certificado web developer > Consultor Microsiga / Totvs > Desenvolvedor ADVPL / ASP > Analista de sistemas e ERP Sênior. > > -- > Você recebeu esta mensagem porque está inscrito na lista "flexdev" > Para enviar uma mensagem, envie um e-mail para [email protected] > Para sair da lista, envie um email em branco para > [email protected] > Mais opções estão disponíveis em http://groups.google.com/group/flexdev > -- Danilo Suares celular: +55 11 7389-6831 skype/msn/gtalk: [email protected] twitter: @danilosuares Esta mensagem pode conter informacao confidencial e/ou privilegiada. Se você não for o destinatário ou a pessoa autorizada a receber esta mensagem, não pode usar, copiar ou divulgar as informacoes nela contidas ou tomar qualquer acao baseada nessas informacoes. Se voce recebeu esta mensagem por engano, por favor avise imediatamente o remetente, respondendo o e-mail e em seguida apague-o. Agradecemos sua cooperacao. This message may contain confidential and/or privileged information. If you are not the addressee or authorized to receive this for the addressee, you must not use, copy, disclose or take any action based on this message or any information herein. If you have received this message in error, please advise the sender immediately by reply e-mail and delete this message. Thank you for your cooperation. -- Você recebeu esta mensagem porque está inscrito na lista "flexdev" Para enviar uma mensagem, envie um e-mail para [email protected] Para sair da lista, envie um email em branco para [email protected] Mais opções estão disponíveis em http://groups.google.com/group/flexdev
