@Fillser

вот к примеру есть база данных линуксовая для флеш, но чтобы взлом через флеш был маловероятен, писать на пхп или ... и как в основном идет взлом? сканируют уязвимые порты самого сетевого серверного оборудования на открытость? ловят на невнимательность?

0

@lugair

такс'
бд на чем?
линукса какая? и какая версия??
какие порты открыты?
какая аппаратура стоит (вобшемто эти данные не сильно интерисуют)

0

@Fillser

из этого можно вывести вывод, что надо тщательнее маскировать машину? а дырку в движке флеш искать маловероятно что будут?

0

@k0xy

Самый распространенный способ это дыры в движке и sql injection. Остальное режется банальным ограничением доступа по ip как минимум.

0

@lugair

То есть маскировать машину? физически или виртуально.
дабы не известно что автор имел в виду обычную малую фирму, завод, банк.
говорят на флеш дырку найти легко (сам не пробовал проги есть на это)

0

@Fillser

дырку во флеш находят через саппорт админу?
через флеш в базу данных проникают путём иньекции при помощи того же саппорта админу, при условии, что флеш модерируется админом через саму же флеш?


k0xy, а что за защита предоставляемая хостингером ssl? насколько она оправдывает вкладываемые средства? какой порт наиболее распространён для брута? скрыть ип как-либо можно самой машине(серверу, на котором флеш), или это противоречит всему интернету?
какая база данных на линуксе безопаснее? Или, если есть разве что отличия в безопасности, то какие?

Добавлено через 3 минуты
ssl защитит от Dos'a или Ddos'a?

0

@voral

Т.е. у вас из флеша напрямую идет подключение к БД?
Это ОЧЕНЬ плохо - считайте, что база доступна всем и для всего (утировано, но близко к истине)

По хорошему база не должна быть доступна извне. Т.е. принимать запросы только от заданных машин. Если у вас все на одном сервере то только от localhost. Флеш пусть обращается к некоей прокладке на строне серера (это может быть и по протоколу http(s) и скрипты на php, перл, питон етс. А можно и просто специальный сервер написать на любом удобном ЯП. (те же си)

Вот в этом то сервере/скриптах и должна быть "защит". Т.е. проверка всех получаемых из вне данных на иньекции, на не соответсвие типов ожидаемым..... Т.е на сервер БД должен уходить чистый и проверенный запрос.

Ну и естественно в первую очередь должна быть грамотно настроена ОС на вашем сервере.

Добавлено через 2 минуты
Та которая поддерживает внутренних пользователй и роли.
Но это вопрос не главный. Главный вопрос: обеспечить ограничение к этой самой БД на уровне ОС.

0

@Fillser

на уровне ОС localhost на MySQL? или MySQLi,MySQL-Lite?
а если база данных не одна, ну например флеш обращается к базе одного вида, та база обратиться к другой базе другого вида, та уже выдает инфу флешу?

0

@voral

В настройках мускуя можно настроить на каких интерфесйсах, от каких подсетей можно поучать запросы, в iptables так же можно разрешить прохождение пакетов на порт MySQL только от localhost.

Это не СУБД и не БД. Это версия драйвера PHP для доступа к субд MySQL.
Такой даже не знаю

Фигасе... Если из базы к базе... Это уже вам Firebird нужен начиная с версии 2.5
А на деле еще раз повторяю: из флеша обращаться к базе напрямую это очень плохо.
Ну, естественно, из скриптов/собственных программ можете обращаться хоть 100500 СУБД хоть разным хоть одинаковым..... Можно, наверное и из флеша если это технически возможно, но из флеша это на ардость шутникам, вам на геморой.

0

@Fillser

я так понимаю флеш->php->MySQL? а мне казалось, что MySQLi это база... MySQLite. тогда какую базуданных можно установить помимо её?
майкрософт больше заботиться о базе данных? платная ли?
где больше, как выражаются, гемороя, в бд линукса или бд майкрософт виндовс?
адоб с виндой дружит а винда распространена, я правильно делаю вывод, что и настройка под флеш там "заточено", вернее флеш заточен под бд винды? что и для вывода продукта хорошо, ведь повторюсь\перескажу появляется круг хороший, если виндовская бд, IIS вроде, хороша в настройке и обороне от злоумышлиников. Вот только как относится php к бд винды?

Добавлено через 7 минут
MS SQL

0

@voral

Везде можно найти свой геморой.... MS SQL в принципе нормальная. Но зачем оно вам? Что бы грамотно сделать серевр под упарвлением MS Windows защищенным придется затратить гораздо больше усилий. На моем опыте при одних и тех же данных база Firebird занимает меньше места чем MS SQL. Опять же в случае MS у вас на сервер ресурсы будет поджирать и GUI не нужное на сервер. Firebird, MySQL, Postgre, Oracle - кросплатформенные субд можете развертывать хоть под виндой хоть под линуксом.
Оптяь же из моего опыта сравнения быстродействия Firebird под windows и linux. Одна и та же база (19Gb) на одном и том же железе под линуксом шевелится значительно быстрее. (Так последовательность некоторых действий включающая, например, бэкап, проверку, разбекап БД сократилась с ~9 часов, до 3)

Винда распространена на десктопах, на серверах лидирует *nix.
флэш будет крутится на компьютере клиента, база данных на сервере. Т.е. "заточенность" флеша ни какого рояля не играет.

И да по новостям в Windows 8 убрали поддержку Flash (потом опять добавили) но это как бы звоночек, что не так все хорошо у флеша....

Ну и вообще субд надо выбирать по задаче. а не сточки зрения легкости взлома.

Добавлено через 4 минуты
Опять же я бы очень внимательно подошел к выбору Flash для нового стартапа с, судя по запросам, большими планами. apple с флешем не очень дружит и грозится убрать его поддержку, у винды чего то были поползновения. HTML5 на пятки вот вот будет наступать..... Ну, а у меня например флеш режется на страницах

Добавлено через 7 минут
Конечно. В связке флеш - MySql - на виду недостатки. Я не очень глубоко знаком с флешем, так что может некоторые пункты покажутся смешными, но:
1. В флеше у вас будет содержаться логин и пароль к базе данных - могут выковырять
2. В флеше будут лежать запросы к БД в чистом виде. Можно понять структуру.
3. Врят ли у вас БД будет только для чтения из флеша. Значит исходя из п1 и 2. Создаем свое приложение и с известным логином паролем цепляемся к известному хосту и известной БД. Пытаемся грохнуть всю бд, пытаемся грохнуть таблицу, пытаемся получить информацию не для всех хранящуюся в таблица, моджифицировать инфу, удалять инфу, вставлять инфу........ Вам оно надо?

0

@Fillser

по 1. при условия модерирования флеш администратором. это можно исправить=просто в самой базе что то менять напрямую через запросы к SQL локально. вот как обезопасить юзеров флеша?
2. а с php структуру не потерять?(бд)

эпл, да, имеет свою платформу, да, не делает поспешных решений как МС, не знаю кто там сейчас директор, и на чем основывалась эта политика, объединению Эпл и МС с основой лИнукса и красочностью винды? Ох не скоро это будет, МС пока существует подло поступает с Адобе, делая вот такие выкрутасы, хотя и Адобе ценит свои услуги завышено, но учитывая что для компании она сделала можно и по-мягче.
А на счет обдумывания .... если учесть предположение о равном соперничестве HTML5 и FLASH будет кризис среднего возраста, и победит.... ФЛЕШ, иначе появится СПИД имбицильности передающейся воздушно-капельным путём. Ибо\т.к. только один браузер будет "весить" около 200мб. хотя я даже эту цифру из облака взял, просто потому что не укладывается в уме что это возможно... да, ну сделал HTML5 плееры видео, банальные фичи, которые нафик не нужны.
Больше HTML нерентабельно повторять функции флеша.

0

@voral

Это как это?
От чего?

1. Можно потерять если взломают ваш сервер и получат доступ к скриптам
2. В такой структуре запросы будет формировать скрипт с проверкой их валидности и допустимости.

Добавлено через 4 минуты
Не будет он так весить. Браузеры уже начинают поддержку HTML5. И вполне красиво получается на мой взгляд. И те демонстрашки (как например где то проскакивал "HTML5 Fotoshop" вполне убедительны. А флеш это сама по себе дырка в системе безопасности. Впрочем это уже мы отклоняемся в холивары.....

0

@Fillser

что как? как модерируют имея права еще и администратора. хм...
хм... от взлома, от беременности через интернет-комп-монитор уберегла природа.


Добавлено через 1 минуту

0

@voral

Уважаемый, сбавьте тон ответов если желаете найти решение. Если не поняли вопроса уточняйте.
Ок. Достал я из вашего влеша: host, basename,login.password. Закосил под ваш флеш и установил соединение с вашей базой. Пусть вы все жестоко ограничили, но оставили разрешение записи в таблицу (к примеру комментарии) - и я начал туда фигачить поток спама при чем я по вашим запросам пойму как сделать "прошедшей модерацию". Это самый легкий для вас случай. Я вообще могу поставить это в крон. И моя программа будет постить с заданной периодичностю спам. А может быть и худший вариант: тупо грохну все таблицы. Так как помогут ваши администраторскийе возможности избежать этой ситуации? (Ведь общается моя программа и СУБД (код которой написали не вы)....

Ок. Поговорим об этом. Взлом компьютера пользователя вашего изделия. Ваше издели приходит на компьютер юзера в виде флеша. Я сомневаюсь, что на влеше можно сделать сервер. Следовательно откидываем возможность входа на компьютер через порт которые слушает ваш флеш. Остается только одно: внедрение вредоносного кода в вашу программу. А тут все зависит от вас. Если у вас цель взломать.... то от кого вы хотите защитить. Если вы получает команды путем запроса из БД, и потом они идут в чистом виде... То ваш трафик можно перехватить и слать свои командв - это тоже путь взлома. Но не один вменяемый разработчик не применит такую схему получения команд..... По сути "Флэш" это клиент не более. Единственный путь взлома через него но без ведома автора безграмотный подход к обмену информацией с сервером.
Да нафиг мне это надо. Если вы уверены - желаю успеха. Ну или нагуглите - холиваров на эту тему до фига. Я как пользователь флэшу на сайтах доверяю меньше всего (и не я один). На то есть основания.

Flash Player 11 for IE 8.8Mб
IE8 16 Mb (нет поддержки html5)
IE9 19 Мб
Firefox 16мб (есть поддержка html5)

Не такая это глобальная задача на самом деле чтоб браузеры распухли..... Да и не измбежно HTML5 будет поддерживаться. Внезависмости сохранит ли флэш свою нишу или нет.

0

@Fillser

ну так и я вам о том же,даже имея php не стоит вести администрацию из под флеш. боты справятся(спасибо за словуо крон, навеяло на ботов)
шифрование нагружает ресурсы и какие, работая клиент-сервер(html-css-php-flash-php-SQL-php-flash(правильно?))-клиент?
чёрт с вами(ну или бог) умываю руки, так как что не влезает в понимание-нельзя отрицать, может вы и правы, тут в принципе дело все во времени.
еще как вариант = бросить флеш и- .net но нужна лицуха ведь?

0

@voral

Неа. Мы о разном. Флеш работает на стороне клиента... Т.е. в ситуации когда вся ваша кухня во флеше. Весь функционал у клиента. (пусть даже без админских возможностей). Т.е. на сервере только база. Поэтому все ваши админские возможности - админские действия после случившегося. Т.е. если я грохну вашу базу..... Вы будете восстанавливать из бэкапа... А это плохо, это само по себе дыра.

Вы немного не понимаете. Не важно на чем будет выполнена клиентская часть. Можно сделать и на флэше. А на сервере админское приложение принимать, например, только с определенного IP или с использованием различных систем с электронным ключем. Это не суть. Важно то, что если вы все запихнете во флешь, если весь функционал будет работать на клиенте (в случае php все работает на стороне сервера и при грамотной настройке юзер не имеет доступа к коду).... Ну и главное в этом случае пользователь получает прямой доступ к базе.

Не совсем так.
html+css+flash - apache+php - sql
все. и по этой цепочке все гоняется туда -сюда
Это нормальная и стандартная практика. При вашей "любви" к flash. Составляющая html+css будет минимально, т.к. это всего лишь рамка-оформление для вашего приложения.

На этапе php вы должны обеспечить невозможность получения неожиданных запросов. Т.к. будут идти не запросы, а просто набор параметров описывающих ситуацию у клиента. А вы в скрипте phpна основе этих параметров (обработав их в первую очередь с точки зрения безопасности) будете строить запрос к БД. Получать от БД ответ. формаировать ответ для клиента и отправлять во флешь. При чем не обязательно все будет хранится в БД. Возможно, что то будет получаться рассчетным путем.

Более того. Например, если будем говорить об онлайн игре. Предположим, скажем бокс. Сила удара рассчитывается в зависимости от многих параметров. Второая составляющая результат удара. Уже зависит и от удара юзера и от параметров его партнера по спарингу.... ЕСли исключит часть php (ЯП может быть и другой - важно, что исполняется на сервере). То все расчеты будут происходить у клиент. Клиент берет например ArtMoney и обеспечивает себе однозначную победу. Кроме того по сути тут возможен вариант боя только с компютером. В нормальной же ситуации на сервере происходят все рассчеты и просто выдается клиенту результат.... И ни какие артмонеу ему не помогут.

И дело тут вовсе не в шифровании (хотя по задаче может и оно нужно). Дело в отсутствии прямого доступа к БД, и возможности управлять процессами.


Все зависит от конкретной задачи. Хотя лично я сторонник кросплатформенных приложений.
ЯП это всего лишь инсрумент. У каждого есть свои достоинства и не достатки. В вашем случае, как мне показалось, главное не выбор ЯП. А разобраться с правильным выбором архитектуры вашего приложения.

Да и потом, для стоящего приложения лицензию не грех купить ... Да и вообще. Я не знаю как в плане именно NET, а так если ни чего не изменилось есть VisualStudio Express. Бесплатная и ее можно использовать для комерческих разработок. Кое что отсутствует, но работать можно.... Я себе в свое время брал чуть более "продвинутую" версию вроде чуть больше 10 тыров обошлась.


А главное... Это все равно вас не избавит от необходимости разделения на серверную и клиентскую часть...... Хотя если у вас для каждого клиента своя БД... Можно и дать прямой доступ - пусть сам отвечает за безопасность

Добавлено через 6 минут
Ах да... Про выбор Flash vs NET..... Вы должны осознать в каком виде ваше приложение должно попасть на компютер клиента..... Ведь может быть связка
HTML+CSS и/или flash - .NET - СУБД

Если вы хотите .NETом "заменить" HTML+CSS и/или flash то юзеру придется скачивать и устанавливать ваше приложение. а возможно еще и фреймворк обновлять. При этом вы сразу говорите досвидания пользователям работающим под *nix и MacOS.... Конечно есть наработки по портированию нета под линукс..... Но, имхо, не так много желающих этим пользоваться.

Добавлено через 1 час 46 минут
Речь случаем не о ролевой игре о который вы создавали тему для поиска команды?

Тогда без вариантов.
Flash/HTML5 клиент который просто отображает ситуацию и принимает от юзера нажатие кнопок.
Сервер - написанный на c/c++ (наверное можно и c# но я б не рискнул) который запускается ввиде сервиса/демона на сервере и обрабатывает всю игровую ситуацию.

Ответ взят не с потолка: изучал ситуацию, входил в команду по написанию игры. Моя была серверная часть. При этом игра была на много проще чем простейшая ролевая.

И бесплатный совет основанный на реальном опыте. Если вы хотите на этом зарабатыват то готовьтесь:
как вам говорили полгода на игру это жутко много, имхо, надо делать быстро. Набирать команду.... Реальную не студентов, которые сегдня хочу завта не хочу/не могу.... С ЗП от 40тыров....
Конечно если вы сейчас хотите сделать одну игру просто чтоб пройти весь путь от идеи до воплощения - дерзайте.

Ну и нужно грамотное начальное ТЗ.

1

@Fillser

voral, спасибо вам. да, я обращался сюда за фриланс.

0