[Owasp-turkey] RE: Flash - Actionscript Güvenliğimi nasıl sağlarım.

Bedirhan Urgun urgunb at hotmail.com
Fri Oct 26 02:29:25 EDT 2007


 
 Eger yanlis anlamadiysam Flash uygulamaniz ile sunucu arasindaki baglantinin guvenli olmasini istiyorsunuz, yani akan trafigin bastan-sona gizliligini (confidentiality) saglamak. Eger durum bu ise ActionScript ile SSL baglantisini saglamak icin soyle bir link buldum;  http://books.google.com/books?id=4iD3_RkM4roC&printsec=frontcover#PPA332,M1   (Bu arada google books harika biseymis!)  Ancak SSL ile saglanan baglantinin calismasinda ve gizliliginde bazi problemler olabiliyormus ama deneyip gormek lazim (Mesela, A+ web tarayicilarda calistigini kontrol etmek ve baglantinin gercekten sifrelendigini gormek icin ethereal ile dinlemek gibi). Eger calisirsa, bu sekilde gizliligin yaninda sunucunun da kimligi dogrulanmis olacak, hatta belki, bilmiyorum, istemci tarafli kimlik dogrulama da yapilabilir.  Yani kimlik dogrulama (en azinda sunucu) ve gizlilik basarilabilir ama teorik olarak okudugum kadari ile bi flash uygulamasinin guvenligini ayni normal bir web uygulamasi (html/dhtml ve javascript) gibi algilamak gerekiyor, yani icinde gizli olmasi gereken kimlik, baglanti gibi bilgilerin olmamasi gerekir.   Bu arada bazi kaynaklar:    http://www.adobe.com/devnet/flash/whitepapers/security.pdf (2002 tarihli!)    http://www.wisec.it/en/Docs/flash_App_testing_Owasp07.pdf (flash decompilation ile ilgili bazi referanslar faydali olabilir)    http://forums.devshed.com/flash-help-38/sendandload-over-ssl-not-work-in-firefox-454705.html (cevaplanmamis bi ssl probleminden bahsediyor) bedirhan


Date: Fri, 26 Oct 2007 00:34:57 +0300From: murattpc at gmail.comTo: owasp-turkey at lists.owasp.orgSubject: [Owasp-turkey] Flash - Actionscript Güvenliğimi nasıl sağlarım.Yaptığım bir flash uygulaması ile serverda çalışan C# ile yazılmış web servisimin güvenli bir şekilde veri alışverişinde bulunmasını istiyorum. Aklıma verileri şifreleyip servera göndermek yalnız sonradan farkettimki action script kodlarını gösteren araçlardan bahsediliyor. Hal böyle olunca şifreleme yöntemim incelenerek taklit edilebilir. Buda istenen bir durum değil. Bu konuda önerilerinizi beklemekteyim. 
_________________________________________________________________
Boo! Scare away worms, viruses and so much more! Try Windows Live OneCare!
http://onecare.live.com/standard/en-us/purchase/trial.aspx?s_cid=wl_hotmailnews
-------------- next part --------------
An HTML attachment was scrubbed...
URL: https://lists.owasp.org/pipermail/owasp-turkey/attachments/20071026/15ad44a7/attachment.html 


More information about the Owasp-turkey mailing list