1 - todos os dados sem https da vida passam abertos 2 - https da vida sempre deixa bem mais pesado 3 - não coloque nenhum dado crítico no seu flex 4 - retorne do seu backend ao flex apenas o que precisa retornar 5 - com os superclounds vc quebra 128bits em poucas horas com baixo custo. 6 - charles proxy é bom, mas em linux tem coisa muito melhor. o charles não pega todos os protocolos etc
abraços 2012/1/13 Julio Cesar <[email protected]> > Aproveitando o embalo, como faço https com amfphp ??? > > Em 12/01/2012 16:34, Danilo Suares escreveu: > > Olá pessoal. > > Só um detalhe a ressaltar, trafegar dados como texto plano por http seja > via swf, ajax, etc... seja post ou get ou etc.. sempre é inseguro, > justamente por isso que existe as criptografias da vida, o SSL HTTPS. Não > tem a ver com flex ou qualquer outra linguagem. > > Como um professou meu sempre dizia, para ter um sistema 100% seguro, é > preciso colocá-lo em um servidor com chave, colocar o servidor em um rack > com cadeado, o rack tem que estar em uma sala com cameras > e vigilância 24X7X365 e esta sala tem que estar em um bunker no mínimo a > 100m de profundidade do solo e o principal, não esquecer de tirar o cabo de > rede. rs > > abs, > > Danilo Suares > > > > Em 12 de janeiro de 2012 15:51, Helio Antonio Francisco Silva < > [email protected]> escreveu: > >> super apoiada e ja to usando literalmente like a boss. :) >> >> >> >> 2012/1/12 Wemerson Couto Guimarães <[email protected]> >> >>> Cara... eu testei de todo jeito... >>> >>> Só se o cara souber como descriptografar esse negócio... fora isso não >>> sei de outro jeito de descobrir... >>> >>> Agora imaginemos o cenário: >>> >>> 1- Se o usuário faz uma requisição de dados, com certeza ele sabe os >>> dados que ele mesmo digitou. >>> 2- O resultado de uma requisição geralmente é mostrado para o usuário... >>> >>> Nesse cenário, não faz muita diferença esconder a informação... é claro >>> que dados sigilosos que podem comprometer a segurança ou até mesmo a >>> própria aplicação não devem estar DENTRO do swf por conta de descompilação >>> em algum nivel ou por conta de um danadinho igual o Charles... o ideal é >>> usar autenticação a nível de dominios no services-config, permitindo >>> somente dominios conhecidos de acessar o conteúdo. >>> >>> Bem... Só nesse cenário não vejo muito sentido em fiar preocupado com a >>> informação que vai trafegar... agora, se imaginarmos que se o charles >>> pegou, qualquer ferramenta pra capturar pacotes na rede como um Wireshark >>> da vida vai pegar também e aí que mora o perigo... pois mesmo que não >>> trafegue dados que comprometam a aplicação, vai trafegar os dados do >>> usuário como login e senha, totalmente à mostra e podem ser capturados... >>> >>> Então, nunca é demais ter alguma segurança a mais... ficar fazendo >>> hashes MD5 ou SHA1 no lado flex nos campos de senha não resolve, pois ainda >>> existe a possibilidade de captura por sniffers na rede... então usar HTTPS >>> é bem interessante. >>> >>> >>> Fica aqui a minha opnião... >>> >>> Em 12 de janeiro de 2012 15:19, Helio Antonio Francisco Silva < >>> [email protected]> escreveu: >>> >>> haha botei HTTPS ssl delicia demais, codigo tudo zuado, nao tem como o >>>> cara pegar agora correto ? :) >>>> >>>> flex mais uma vez seguro :) >>>> >>>> >>>> 2012/1/12 Wemerson Couto Guimarães <[email protected]> >>>> >>>>> realmente... nem tudo se descompila... mas muita coisa consegue-se... >>>>> e aí se tem uma chave de criptografia ali, uma senha escondidinha acolá... >>>>> acaba que alguem consegue pegar... então o certo é não deixar nada que >>>>> comprometa a segurança dentro do swf... >>>>> >>>>> Fiz uns testes aqui no meu servidor ssl com uma página em php >>>>> retornando um xml conforme uma solixitação em HTTPService... ou seja, >>>>> totalmente inseguro... tanto o Request, quanto a requisição foram >>>>> satisfatórias... >>>>> >>>>> HTTPService1.url = "https://localhost/testehttps.php";; >>>>> HTTPService1.send( { "a": 1, "b": 2 } ); >>>>> >>>>> No lado PHP: >>>>> >>>>> <?php >>>>> >>>>> echo '<?xml version="1.0" encoding="utf-8"?>'; >>>>> echo "<xml>"; >>>>> foreach($_POST as $key => $value){ >>>>> echo "<$key>$value</$key>"; >>>>> } >>>>> echo "</xml>"; >>>>> >>>>> o retorno é o xml no flex, porém irreconhecível no charles.: >>>>> >>>>> <?xml version="1.0" encoding="utf-8"?> >>>>> <xml> >>>>> <a>1</a> >>>>> <b>2</b> >>>>> </xml> >>>>> >>>>> Aqui está o resultado no charles: >>>>> >>>>> request: >>>>> ----------- >>>>> CONNECT localhost:443 HTTP/1.1 >>>>> User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:9.0.1) >>>>> Gecko/20100101 Firefox/9.0.1 >>>>> Proxy-Connection: keep-alive >>>>> Host: localhost >>>>> >>>>> {texto zuado... o gmail nem reconheceu... rs.} >>>>> >>>>> >>>>> response: >>>>> ------------- >>>>> {texto também zuado na resposta...} >>>>> >>>>> >>>>> >>>>> Fica agora só a pergunta... esse resultado é satisfatório na questão >>>>> de segurança ou ainda é fácil de ser quebrado? >>>>> >>>>> >>>>> >>>>> >>>>> >>>>> >>>>> Em 12 de janeiro de 2012 11:08, Helio Antonio Francisco Silva < >>>>> [email protected]> escreveu: >>>>> >>>>> cara nao e bem assim tambem, ja usei decompiler por muito tempo e voce >>>>>> nao consegue 100% do resultado de volta. mesmo por que muitas informações >>>>>> se perdem quando gera o SWF, para so ficar o que precisa pra rodar e >>>>>> assim >>>>>> ficar mais leve e assim vai. >>>>>> Ver o que e trafegado nao vejo tanto problema uma vez que no HTML >>>>>> tambem fica, ai eu teria de encriptografar as informações; mas se o HTTPS >>>>>> ja zua-se os dados no proxy ia ser uma mao na roda. me pouparia trampo. >>>>>> >>>>>> >>>>>> 2012/1/12 Wemerson Couto Guimarães <[email protected]> >>>>>> >>>>>>> É amigo... swf é totalmente inseguro... primeiro porque consegue-se >>>>>>> descompilar o bicho em algum nivel... segundo que com programas como >>>>>>> esse >>>>>>> maluco do Charles consegue-se ver tudo que vem nas requisições... >>>>>>> >>>>>>> Inclusive pega até requisições com method POST... >>>>>>> >>>>>>> Acredito que só mesmo trafegando informações criptografadas... >>>>>>> >>>>>>> Fiz um teste aqui num servidor HTTPS aleatório e as informações >>>>>>> trafegadas estavam em formato desconhecido, provavelmente >>>>>>> criptografado... >>>>>>> então acredito que é esse o caminho... >>>>>>> >>>>>>> Em 12 de janeiro de 2012 10:17, Helio Antonio Francisco Silva < >>>>>>> [email protected]> escreveu: >>>>>>> >>>>>>>> Recentemente um companheiro aqui do forum, me mostrou esse >>>>>>>> programa que por Sinal muito bom. >>>>>>>> Agora percebi que ele mostra o result list que eu mando de volta no >>>>>>>> flex, tem como eu bloquear isso desses programas pegarem ? >>>>>>>> Fui em varios sites e acabei vendo o mesmo problema. como s >>>>>>>> ebloqueia isso, HTTPS ? tem alguma forma ? >>>>>>>> >>>>>>>> abraços. >>>>>>>> >>>>>>>> >>>>>>>> -- >>>>>>>> *Hélio Antonio Francisco Silva* >>>>>>>> Desenvolvedor web >>>>>>>> Certificado Flash developer >>>>>>>> Certificado Flash Design >>>>>>>> Certificado web developer >>>>>>>> Consultor Microsiga / Totvs >>>>>>>> Desenvolvedor ADVPL / ASP >>>>>>>> Analista de sistemas e ERP Sênior. >>>>>>>> >>>>>>>> -- >>>>>>>> Você recebeu esta mensagem porque está inscrito na lista "flexdev" >>>>>>>> Para enviar uma mensagem, envie um e-mail para >>>>>>>> [email protected] >>>>>>>> Para sair da lista, envie um email em branco para >>>>>>>> [email protected] >>>>>>>> Mais opções estão disponíveis em >>>>>>>> http://groups.google.com/group/flexdev >>>>>>> >>>>>>> >>>>>>> >>>>>>> >>>>>>> -- >>>>>>> Wemerson Guimarães >>>>>>> Rio Verde - Go - Brasil >>>>>>> >>>>>>> -- >>>>>>> Você recebeu esta mensagem porque está inscrito na lista "flexdev" >>>>>>> Para enviar uma mensagem, envie um e-mail para >>>>>>> [email protected] >>>>>>> Para sair da lista, envie um email em branco para >>>>>>> [email protected] >>>>>>> Mais opções estão disponíveis em >>>>>>> http://groups.google.com/group/flexdev >>>>>> >>>>>> >>>>>> >>>>>> >>>>>> -- >>>>>> *Hélio Antonio Francisco Silva* >>>>>> Desenvolvedor web >>>>>> Certificado Flash developer >>>>>> Certificado Flash Design >>>>>> Certificado web developer >>>>>> Consultor Microsiga / Totvs >>>>>> Desenvolvedor ADVPL / ASP >>>>>> Analista de sistemas e ERP Sênior. >>>>>> >>>>>> -- >>>>>> Você recebeu esta mensagem porque está inscrito na lista "flexdev" >>>>>> Para enviar uma mensagem, envie um e-mail para >>>>>> [email protected] >>>>>> Para sair da lista, envie um email em branco para >>>>>> [email protected] >>>>>> Mais opções estão disponíveis em >>>>>> http://groups.google.com/group/flexdev >>>>>> >>>>> >>>>> >>>>> >>>>> -- >>>>> Wemerson Guimarães >>>>> Rio Verde - Go - Brasil >>>>> >>>>> -- >>>>> Você recebeu esta mensagem porque está inscrito na lista "flexdev" >>>>> Para enviar uma mensagem, envie um e-mail para >>>>> [email protected] >>>>> Para sair da lista, envie um email em branco para >>>>> [email protected] >>>>> Mais opções estão disponíveis em >>>>> http://groups.google.com/group/flexdev >>>>> >>>> >>>> >>>> >>>> -- >>>> *Hélio Antonio Francisco Silva* >>>> Desenvolvedor web >>>> Certificado Flash developer >>>> Certificado Flash Design >>>> Certificado web developer >>>> Consultor Microsiga / Totvs >>>> Desenvolvedor ADVPL / ASP >>>> Analista de sistemas e ERP Sênior. >>>> >>>> -- >>>> Você recebeu esta mensagem porque está inscrito na lista "flexdev" >>>> Para enviar uma mensagem, envie um e-mail para [email protected] >>>> Para sair da lista, envie um email em branco para >>>> [email protected] >>>> Mais opções estão disponíveis em http://groups.google.com/group/flexdev >>>> >>> >>> >>> >>> -- >>> Wemerson Guimarães >>> Rio Verde - Go - Brasil >>> >>> -- >>> Você recebeu esta mensagem porque está inscrito na lista "flexdev" >>> Para enviar uma mensagem, envie um e-mail para [email protected] >>> Para sair da lista, envie um email em branco para >>> [email protected] >>> Mais opções estão disponíveis em http://groups.google.com/group/flexdev >>> >> >> >> >> -- >> *Hélio Antonio Francisco Silva* >> Desenvolvedor web >> Certificado Flash developer >> Certificado Flash Design >> Certificado web developer >> Consultor Microsiga / Totvs >> Desenvolvedor ADVPL / ASP >> Analista de sistemas e ERP Sênior. >> >> -- >> Você recebeu esta mensagem porque está inscrito na lista "flexdev" >> Para enviar uma mensagem, envie um e-mail para [email protected] >> Para sair da lista, envie um email em branco para >> [email protected] >> Mais opções estão disponíveis em http://groups.google.com/group/flexdev >> > > > > -- > Danilo Suares > celular: +55 11 7389-6831 > skype/msn/gtalk: [email protected] > twitter: @danilosuares > > Esta mensagem pode conter informacao confidencial e/ou privilegiada. Se > você não for o destinatário ou a pessoa autorizada a receber esta mensagem, > não pode usar, copiar ou divulgar as informacoes nela contidas ou tomar > qualquer acao baseada nessas informacoes. Se voce recebeu esta mensagem por > engano, por favor avise imediatamente o remetente, respondendo o e-mail e > em seguida apague-o. Agradecemos sua cooperacao. > > This message may contain confidential and/or privileged information. If > you are not the addressee or authorized to receive this for the addressee, > you must not use, copy, disclose or take any action based on this message > or any information herein. If you have received this message in error, > please advise the sender immediately by reply e-mail and delete this > message. Thank you for your cooperation. > > -- > Você recebeu esta mensagem porque está inscrito na lista "flexdev" > Para enviar uma mensagem, envie um e-mail para [email protected] > Para sair da lista, envie um email em branco para > [email protected] > Mais opções estão disponíveis em http://groups.google.com/group/flexdev > > > -- > Você recebeu esta mensagem porque está inscrito na lista "flexdev" > Para enviar uma mensagem, envie um e-mail para [email protected] > Para sair da lista, envie um email em branco para > [email protected] > Mais opções estão disponíveis em http://groups.google.com/group/flexdev > -- Você recebeu esta mensagem porque está inscrito na lista "flexdev" Para enviar uma mensagem, envie um e-mail para [email protected] Para sair da lista, envie um email em branco para [email protected] Mais opções estão disponíveis em http://groups.google.com/group/flexdev
