Flash Client-Server Security

Question

Mon client souhaite créer un jeu Flash en ligne. Une fois qu'ils ont terminé le jeu, ils obtiennent un score, qui est passé et connecté sur un serveur. Ce score détermine s'ils gagnent un prix à la fin d'une période déterminée, en fonction des scores des autres joueurs.

Je dois considérer une situation dans laquelle un utilisateur souhaite tricher en interceptant et en modifiant les données envoyées au serveur. Bien que j'ai considéré, et utiliserait évidemment le HTTPS, cela n'empêcherait pas le joueur de le faire.

Il me semble que je ne peux avoir aucune sorte de secret que le serveur a connaissance dans le Flash, car cela sera accessible au joueur.

Même si beaucoup de gens sur ce site semblent le suggérer dans d'autres publications, je ne suis pas sûr que l'utilisation d'un obfuscator soit une option en raison de la valeur des prix en jeu. Nous avons utilisé cette technique auparavant pour des prix plus bas.

Tout pointeur, suggestion, idée serait apprécié. Je suis sûr qu'il doit y avoir une solution connue?

Answer 1

La solution ultime est si le serveur agit comme un GM, mais c'est évidemment une solution coûteuse. Il y a des choses relativement semblables que vous pouvez faire qui coûteront beaucoup moins et qui auront une sécurité raisonnablement similaire. Le jeu flash pourrait garder un journal de tous les événements qui se produisent dans le jeu, et ce journal pourrait être soumis avec le score. Vous pouvez ensuite utiliser le code côté serveur pour valider les circonstances qui ont conduit au score élevé.

Cela empêcherait toute altération du code côté client. La seule faute serait que quelqu'un pourrait générer un journal d'un jeu possible mais incroyablement chanceux ou qualifié. Ce problème pourrait être atténué avec quelques techniques supplémentaires comme le code à la demande et le chiffrement/les clés en temps opportun.