Eternel problème de sécurité

[mofo]

Bonjour,

 

J'arrive dans l'étape la plus douloureuse d'un développement, la sécurité. J'aimerai connaitre votre avis et vos techniques sur ce sujet.

 

Sur une page j'ai une applette java (c'est un jeu), dès que ce jeu est terminé, on doit cliquer sur le bouton 'Save'. Ce bouton apelle une page php qui est au meme niveau de l'arborescence. Ce fichier récupère les infos passées en GET par java, ecrit le score dans la base de données et retourne un code à java ('c'est ok ptit gars j'ai fait le boulot, balance la suite').

 

Mon problème est là. Actuellement, si j'execute mon fichier php à moa directement et que je passe tous les paramètres en GET je peux mettre le score que je veux !!!

 

Je teste avec un http_referer mais le problème est que quelqu'un de malicieu (j'aime bien ce terme) peut tres bien le changer (avec un proxy ...).

 

Il faut donc que je trouve une technique pour que mon fichier php ne s'execute que si c'est MON java qui l'apelle.

 

Toutes vos idées seront appréciées.

 

La seule contrainte, c'est que java ne discute pas avec la base de données. Si vous voulez plus de précisions ... allez y!

 

Merci d'avance.

 

Mofo

[HeAdLeSs]

Tu ne peux pas le passer en POST ?

 

ps : ca parait ptet bete mais il peut ne pas y avoir pensé...

Modifié le 24 mai 2005 par HeAdLeSs

[KewlCat]

POST ou GET il faut de toute façon qu'il y ait quelque chose de généré lors de l'exécution de l'applet pour qu'elle s'authentifie "dynamiquement" auprès du serveur... (surtout ne rien mettre en dur, vu que le code de l'applet est facilement décompilable !)

Généralement, pour bloquer les ajouts de scores "trop faciles", les sites de "concours" cryptent le score avec d'autres infos et ne transfèrent que ce code crypté au serveur qui, lui, a les moyens de décrypter...

 

En clair, en ne disposant que de l'algo de cryptage (par décompilation de l'applet) mais pas des infos transmises à l'instanciation de l'applet ni des clés de décryptage présentes sur le serveur, il est d'autant plus difficile de "générer" un code qui sauvegarde un score bidon en se faisant passer pour l'applet...

[mofo]

Maintenant il va falloir que je deniche le bon cryptage. Autand utiliser un tres bon compte que dans faire un 'à la main'.

 

Il n'y en a pas de très bon sur le site de la NSA ???

[KewlCat]

Tu as normalement tout ce qu'il te faut dans java.security

Si tu veux blinder, tu peux prendre des "Providers" autres que ceux de Sun...

[mofo]

KewlCat -> mais apres il faut que je decrypte en php ...

[KewlCat]

Ah mince... Là je ne pourrai pas t'aider (il nous faut un pro du PHP)...

[tangui]

Au pire tu fais un truc super simple...

Tu te fais une clé style: 25698701254230, tu ajoutes le score à cette clé en java, puis en php tu soustrais à la clé..

tu me diras, un petit malin peut tjrs ajouter un gros score avec...

Sinon, il doit bien exister la meme fonction hash en java et php?

[HeAdLeSs]

Et bien le plus simple serait de composer le score avec une série de lettres, avec un algo que tu fais toi meme :

 

1 - on fait correspondre un chiffre du score à sa lettre dans l'alphabet.

2 - on decale le tout de 8 rangs.

3 - on fait correspondre les nouvelles lettres à l'alphabet mais cette fois à l'envers.

4 - on redecale de 17 rangs.

 

Comme ca le score qui passe en url est en lettres puis tres codé. Ensuite tu refais un algorithme inverse et tu retrouves le score à mettre dans le BDD.

 

Sinon je veux bien essayer de t'aider en php.

 

+a+

Modifié le 27 mai 2005 par HeAdLeSs

[mofo]

HeAdLeSs -> tres bonne idée. Mais le truc c'est que dans le java, il ne faut pas que ca soit compréhensible car presque n'importe qui peut 'cracker' une class et donc voir à l'intérieur la technique de cryptage !!!

 

Je vais prendre du temps pour mettre cela au point ce week end et je vous mettrai surement à contribution pour tester cette sécurité (vous serez autorisé à hacker mon site), sauf si vous savez pas jouer à sokoban ...

 

Merci

 

+