<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns="http://www.w3.org/TR/REC-html40">

<head>
<meta http-equiv=Content-Type content="text/html; charset=iso-8859-9">
<meta name=Generator content="Microsoft Word 11 (filtered medium)">
<!--[if !mso]>
<style>
v\:* {behavior:url(#default#VML);}
o\:* {behavior:url(#default#VML);}
w\:* {behavior:url(#default#VML);}
.shape {behavior:url(#default#VML);}
</style>
<![endif]-->
<style>
<!--
 /* Font Definitions */
 @font-face
        {font-family:Tahoma;
        panose-1:2 11 6 4 3 5 4 4 2 4;}
 /* Style Definitions */
 p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0cm;
        margin-bottom:.0001pt;
        font-size:12.0pt;
        font-family:"Times New Roman";}
a:link, span.MsoHyperlink
        {color:blue;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {color:blue;
        text-decoration:underline;}
p
        {mso-margin-top-alt:auto;
        margin-right:0cm;
        mso-margin-bottom-alt:auto;
        margin-left:0cm;
        font-size:12.0pt;
        font-family:"Times New Roman";}
span.E-postaStili20
        {mso-style-type:personal-reply;
        font-family:Arial;
        color:navy;}
@page Section1
        {size:595.3pt 841.9pt;
        margin:70.85pt 70.85pt 70.85pt 70.85pt;}
div.Section1
        {page:Section1;}
-->
</style>
<!--[if gte mso 9]><xml>
 <o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
 <o:shapelayout v:ext="edit">
  <o:idmap v:ext="edit" data="1" />
 </o:shapelayout></xml><![endif]-->
</head>

<body lang=TR link=blue vlink=blue>

<div class=Section1>

<p class=MsoNormal><font size=2 color=navy face=Arial><span style='font-size:
10.0pt;font-family:Arial;color:navy'>Sniffer ile dinlenebilir, haklısınız, ssl
bağlantıda kullanıyorum ben gerçi, hem ssl kullanıyorsun hem de neden flashı
asp ye gömüyorsun derseniz de kaynak kodlarını en azından bu işlerden
anlamayanlardan koruyor :)<o:p></o:p></span></font></p>

<p class=MsoNormal><font size=2 color=navy face=Arial><span style='font-size:
10.0pt;font-family:Arial;color:navy'><o:p>&nbsp;</o:p></span></font></p>

<div>

<div class=MsoNormal align=center style='text-align:center'><font size=3
face="Times New Roman"><span style='font-size:12.0pt'>

<hr size=2 width="100%" align=center tabindex=-1>

</span></font></div>

<p class=MsoNormal><b><font size=2 face=Tahoma><span style='font-size:10.0pt;
font-family:Tahoma;font-weight:bold'>From:</span></font></b><font size=2
face=Tahoma><span style='font-size:10.0pt;font-family:Tahoma'>
owasp-turkey-bounces@lists.owasp.org
[mailto:owasp-turkey-bounces@lists.owasp.org] <b><span style='font-weight:bold'>On
Behalf Of </span></b>Ferruh Mavituna<br>
<b><span style='font-weight:bold'>Sent:</span></b> Saturday, October 27, 2007
11:27 PM<br>
<b><span style='font-weight:bold'>To:</span></b> Murat Sürücü<br>
<b><span style='font-weight:bold'>Cc:</span></b> Owasp-turkey@lists.owasp.org<br>
<b><span style='font-weight:bold'>Subject:</span></b> Re: [Owasp-turkey]Flash -
Actionscript Güvenliğimi nasıl sağlarım.</span></font><o:p></o:p></p>

</div>

<p class=MsoNormal><font size=3 face="Times New Roman"><span style='font-size:
12.0pt'><o:p>&nbsp;</o:p></span></font></p>

<p class=MsoNormal style='margin-bottom:12.0pt'><font size=3
face="Times New Roman"><span style='font-size:12.0pt'>Implemantasyonun tamamini
gormek lazim sanirim ama anlttigin kadari ile basitce herhangi bir sniffer ile
o flash binary sinin bir kopyasi lokale alinabilir ve ondan sonra de decompile
edilebilir.<br>
<br>
Ikinci olarak saldirgan flashin kodunu bilmese istek ve cevaplar uzerinde
analiz yaparak sistemi kirabilir. <o:p></o:p></span></font></p>

<div>

<p class=MsoNormal><span class=gmailquote><font size=3 face="Times New Roman"><span
style='font-size:12.0pt'>On 27/10/2007, <b><span style='font-weight:bold'>Murat
Sürücü</span></b> &lt;<a href="mailto:msurucu@karaelmas.edu.tr">msurucu@karaelmas.edu.tr</a>&gt;
wrote:</span></font></span><o:p></o:p></p>

<div link=blue vlink=blue>

<div>

<p><font size=2 color=navy face=Arial><span style='font-size:10.0pt;font-family:
Arial;color:navy'>Peki benim dediğim yöntemi bilen var mı?</span></font><o:p></o:p></p>

<p><font size=2 color=navy face=Arial><span style='font-size:10.0pt;font-family:
Arial;color:navy'>Ben daha önce kullandım bu yöntemi ama açığını bulamadım.
Açığı varsa kullanmayayım bende :)</span></font><o:p></o:p></p>

<p><font size=2 color=navy face=Arial><span style='font-size:10.0pt;font-family:
Arial;color:navy'>&nbsp;</span></font><o:p></o:p></p>

<div>

<div class=MsoNormal align=center style='text-align:center'><font size=3
face="Times New Roman"><span style='font-size:12.0pt'>

<hr size=2 width="100%" align=center>

</span></font></div>

<p><b><font size=2 face=Tahoma><span style='font-size:10.0pt;font-family:Tahoma;
font-weight:bold'>From:</span></font></b><font size=2 face=Tahoma><span
style='font-size:10.0pt;font-family:Tahoma'> <a
href="mailto:owasp-turkey-bounces@lists.owasp.org" target="_blank">owasp-turkey-bounces@lists.owasp.org</a>
[mailto:<a href="mailto:owasp-turkey-bounces@lists.owasp.org" target="_blank">owasp-turkey-bounces@lists.owasp.org</a>]
<b><span style='font-weight:bold'>On Behalf Of </span></b>Çağdaş EMEK<br>
<b><span style='font-weight:bold'>Sent:</span></b> Friday, October 26, 2007
8:09 PM<br>
<b><span style='font-weight:bold'>To:</span></b> <a
href="mailto:Owasp-turkey@lists.owasp.org" target="_blank">Owasp-turkey@lists.owasp.org</a><o:p></o:p></span></font></p>

<div><span id="q_115e205932a36d5e_1">

<p class=MsoNormal><font size=2 face=Tahoma><span style='font-size:10.0pt;
font-family:Tahoma'><br>
<span class=e><b><span style='font-weight:bold'>Subject:</span></b> Re:
[Owasp-turkey]Flash - Actionscript Güvenliğimi nasıl sağlarım.</span></span><o:p></o:p></span></font></p>

</div>

</div>

<div><span id="q_115e205932a36d5e_3">

<p><font size=3 face="Times New Roman"><span style='font-size:12.0pt'>&nbsp;<o:p></o:p></span></font></p>

<div>

<p><font size=3 face="Times New Roman"><span style='font-size:12.0pt'>Selamlar<o:p></o:p></span></font></p>

</div>

<div>

<p><font size=3 face="Times New Roman"><span style='font-size:12.0pt'><br>
Geçen sene flash tabanlı&nbsp;multiplayer oyun hazırlamıştım. Kendine özel
serverı olan ve clientlerın flash tabanlı olduğu bir oyundu. Fakat reverse
engineering&nbsp;ile action scriptlerin okunduğunu fark edince uygulamayı
geliştirmeyi bırakmıştım. Benim bildiğim kadarı ile ActionScript ı saklayacak
bir imkan yok.&nbsp;Ama okunmasını zorlaştıracak algoritmalar mevcut. <br>
<br>
Birde,AS3.0 da java desteği olacak diye duymuştum bir araştırmak lazım. Eğer
AS3.0 da java desteği varsa actionscript ın önemli kısımlarını java ile
yaptırırsın ve kimsede görmek için uğraşmaz.<br>
<br>
Çağdaş EMEK<br>
Bilgisayar Teknolojileri ve Bilişim Sistemleri<br>
Bilkent Üniversitesi<br>
&nbsp;<o:p></o:p></span></font></p>

</div>

<p style='margin-bottom:12.0pt'><font size=3 face="Times New Roman"><span
style='font-size:12.0pt'>&nbsp;<o:p></o:p></span></font></p>

<div>

<p><font size=3 face="Times New Roman"><span style='font-size:12.0pt'>On
10/26/07, <b><span style='font-weight:bold'>MURAT SÜRÜCÜ</span></b> &lt;<a
href="mailto:msurucu@karaelmas.edu.tr" target="_blank">msurucu@karaelmas.edu.tr</a>&gt;
wrote: <o:p></o:p></span></font></p>

<div vlink=purple link=blue>

<div>

<p><font size=2 color="#1f497d" face="Times New Roman"><span style='font-size:
11.0pt;color:#1F497D'>Şöyle bir şey yapılabilir mi?</span></font><o:p></o:p></p>

<p><font size=2 color="#1f497d" face="Times New Roman"><span style='font-size:
11.0pt;color:#1F497D'>Kodları alınabilen, yani html tabanlı sitenize gömdüğünüz
flashın içinden php veya asp tabanlı bir sayfayı movie load ile çağırıp, php ve
asp tabanlı sayfanın içinde de esas kodlarınızın bulunduğu flashı binary olarak
yazdırırsanız hem kodlarınızı ele geçiremezler hem de istediğiniz algoritmayı
yazabilirsiniz, tabi asp veya php sayfanızın get metoduyla da alınmasını
engellemek gerekir diye düşünüyorum. </span></font><o:p></o:p></p>

<p><font size=2 color="#1f497d" face="Times New Roman"><span style='font-size:
11.0pt;color:#1F497D'>&nbsp;</span></font><o:p></o:p></p>

<p><b><font size=2 face="Times New Roman"><span style='font-size:10.0pt;
font-weight:bold'>From:</span></font></b><font size=2><span style='font-size:
10.0pt'> <a href="mailto:owasp-turkey-bounces@lists.owasp.org" target="_blank">owasp-turkey-bounces@lists.owasp.org
</a>[mailto:<a href="mailto:owasp-turkey-bounces@lists.owasp.org"
target="_blank">owasp-turkey-bounces@lists.owasp.org</a>] <b><span
style='font-weight:bold'>On Behalf Of </span></b>Yusuf CAKIR<br>
<b><span style='font-weight:bold'>Sent: </span></b>Friday, October 26, 2007
8:22 AM<br>
<b><span style='font-weight:bold'>To:</span></b> Murat Topçu; <a
href="mailto:owasp-turkey@lists.owasp.org" target="_blank">owasp-turkey@lists.owasp.org</a><br>
<b><span style='font-weight:bold'>Subject:</span></b> Re: [Owasp-turkey] Flash
- Actionscript Güvenliğimi nasıl sağlarım.</span></font><o:p></o:p></p>

<div>

<p><font size=3 face="Times New Roman"><span style='font-size:12.0pt'>&nbsp;<o:p></o:p></span></font></p>

<p><font size=2 color=blue face="Times New Roman"><span style='font-size:10.0pt;
color:blue'>Bunu gerçek anlamda sağlamanı ne yazık ki mümkün değil.</span></font><o:p></o:p></p>

<p><font size=2 color=blue face="Times New Roman"><span style='font-size:10.0pt;
color:blue'>Ancak gönderdiğiniz verileri şifreleyerek ve ardından flash
dosyalarındaki action script kodlarının alınmamasını (şifrelenmesini) sağlayan
yazılımlar ile bunu çok ama çok zorlaştırmanız mümkün. </span></font><o:p></o:p></p>

<p><font size=2 color=blue face="Times New Roman"><span style='font-size:10.0pt;
color:blue'>Flash action script kodlarının alınmamasını sağlayan programları
kullanarak yaptığınız flash dosyasını inceleyen birisi şifreleme algoritmanızı
anlamayacaktır.</span></font><o:p></o:p></p>

<p><font size=2 color=blue face="Times New Roman"><span style='font-size:10.0pt;
color:blue'>Eğer gerçekten bakıldığında anlaşılmayacak, denemeler sonucunda ne
olduğunu bulunamayacak bir karışık algoritma gerçekleştirirseniz karşı tarafın
işini çok ama çok zorlaştırırsınız. </span></font><o:p></o:p></p>

<p><font size=3 face="Times New Roman"><span style='font-size:12.0pt'>&nbsp;<o:p></o:p></span></font></p>

<div class=MsoNormal align=center style='text-align:center'><font size=3
face="Times New Roman"><span style='font-size:12.0pt'>

<hr size=2 width="100%" align=center>

</span></font></div>

<p style='margin-bottom:12.0pt'><b><font size=2 face="Times New Roman"><span
style='font-size:10.0pt;font-weight:bold'>From:</span></font></b><font size=2><span
style='font-size:10.0pt'> <a href="mailto:owasp-turkey-bounces@lists.owasp.org"
target="_blank">owasp-turkey-bounces@lists.owasp.org</a> [mailto:<a
href="mailto:owasp-turkey-bounces@lists.owasp.org" target="_blank">owasp-turkey-bounces@lists.owasp.org</a>]
<b><span style='font-weight:bold'>On Behalf Of </span></b>Murat Topçu<br>
<b><span style='font-weight:bold'>Sent:</span></b> Friday, October 26, 2007
12:35 AM<br>
<b><span style='font-weight:bold'>To:</span></b> <a
href="mailto:owasp-turkey@lists.owasp.org" target="_blank">owasp-turkey@lists.owasp.org
</a><br>
<b><span style='font-weight:bold'>Subject:</span></b> [Owasp-turkey] Flash -
Actionscript Güvenliğimi nasıl sağlarım.</span></font><o:p></o:p></p>

<p style='margin-bottom:12.0pt'><font size=3 face="Times New Roman"><span
style='font-size:12.0pt'>Yaptığım bir flash uygulaması ile serverda çalışan C#
ile yazılmış web servisimin güvenli bir şekilde veri alışverişinde bulunmasını
istiyorum. <br>
Aklıma verileri şifreleyip servera göndermek yalnız sonradan farkettimki action
script kodlarını gösteren araçlardan bahsediliyor. Hal böyle olunca şifreleme
yöntemim incelenerek taklit edilebilir. Buda istenen bir durum değil. <br>
<br>
Bu konuda önerilerinizi beklemekteyim. <o:p></o:p></span></font></p>

<p><font size=2 color="#1f497d" face="Times New Roman"><span style='font-size:
11.0pt;color:#1F497D'>&nbsp;</span></font><o:p></o:p></p>

</div>

</div>

</div>

<p style='margin-bottom:12.0pt'><font size=3 face="Times New Roman"><span
style='font-size:12.0pt'><br>
_______________________________________________<br>
Owasp-turkey mailing list<br>
<a href="mailto:Owasp-turkey@lists.owasp.org" target="_blank">Owasp-turkey@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-turkey" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-turkey
</a><o:p></o:p></span></font></p>

</div>

<p><font size=3 face="Times New Roman"><span style='font-size:12.0pt'>&nbsp;<o:p></o:p></span></font></p>

</div>

</div>

</div>

</span>

<p class=MsoNormal style='margin-bottom:12.0pt'><font size=3
face="Times New Roman"><span style='font-size:12.0pt'><br>
_______________________________________________<br>
Owasp-turkey mailing list<br>
<a href="mailto:Owasp-turkey@lists.owasp.org">Owasp-turkey@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-turkey" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-turkey</a><o:p></o:p></span></font></p>

</div>

<p class=MsoNormal><font size=3 face="Times New Roman"><span style='font-size:
12.0pt'><br>
<br clear=all>
<br>
-- <br>
Ferruh Mavituna<br>
<a href="http://ferruh.mavituna.com">http://ferruh.mavituna.com</a> <o:p></o:p></span></font></p>

</div>

</body>

</html>