mediatorflash - Sicherheitsabfrage

hjf

hjf

New member
Hi!
Original geschrieben von Albu
Flash traue ich schon, allerdings wer glaubt, daß sein SourceCode unlesbar in der .swf Datei versteckt (und damit geschützt) ist, der ist auf dem Holzweg.
Dabei ist es völlig egal ob Macromedia Flash oder Mediator Flash oder Swish oder wie se ned heißen.
Eine sichere Seite mit Flash macht man deshalb genauso wie man eine sichere HTML Seite gestalten würde: Session, sereverseitige Logik, SSL, usw.
Zum Vergrößern anklicken....
Das mag ja theoretisch richtig sein, nur wie sieht das in der Praxis aus?
Ich hab dieses da gebastelt:
http://www.spassturm.de/tresor/index.htm
edit: Version 2:
http://www.spassturm.de/tresor2/index.htm
Wenn man dort die Zahl 276 einstellt, gelangt man auf eine andere webseite. (edit: Von der Fragestellung her sind beide Versionen identisch)

Meine Frage: Wer von hier könnte die Adresse der anderen webseite einfach herausbekommen, wenn er die Zahl nicht kennt?
(Ich könnte es nicht, ich müßte die 1000 Zahlenmöglichkeiten einzeln ausprobieren, bis ich Glück hätte. Das ganze könnte ich auch mit mehr Zahlenringen mit jeweils auch mehr Zahlen basteln, z. B. sechs Zahlenringe mit jeweils 49 Zahlen.)
Wer von hier kennt eine Möglichkeit, die (momentan) tausend Zahlenmöglichkeiten automatisch einfach abzuchecken oder die Dateien der Seite so zu entpacken, daß er die linkadresse lesen kann (kann ich nicht) oder sonst irgendwie?

Oder ist das script doch sicher?

lg joachim
 
Zuletzt bearbeitet:
Dankeschön Micro!
Nur leider hilft mir das nicht weiter - ich kann kein englisch.
(bzw. mein Schulenglisch, das ich vor über 30 Jahren mal gelernt habe und seit dieser Zeit nie wirklich brauchte, ist mittlerweile so schlecht, daß es mir hier nicht weiterhilft.)
lg joachim
 
das ist ein Programm, mit dem man ein swf-file "auseinander nehmen" kann. Soll heißen, dass du den Actionscript-code auslesen kannst. Auch kannst du Bilder, und ganze Sequenzen aus dem SWF extrahieren.
 
Hi Micro!

Nochmals dankeschön!
Funktioniert das auch mit mediator-swf´s?
mediator baut ja keine *.fla und arbeitet auch nicht mit Actionscript. Wie teuer ist das Programm?

Meine Sicherheitsbedürfnisse wären ja schon befriedigt, wenn man, um die link-Adresse rauszubekommen, mehr als eine Stunde Zeit investieren muß oder ein teures Programm kaufen muß.
Natürlich, Bankgeheimnisse und ähnliches gehören nicht ins internet, auch nicht auf "sichere" Seiten.

Momentan trau ich das Knacken der mediator-swf-Dateien nur den Entwicklern von mediator zu, also den Leuten, die diese *.swf´s Herstellung entwickelt haben, evtl. auch den macromedia-Entwicklern. Nur, ob Dänen oder Amis Interesse an deutschen webseiten haben?

Wenn jetzt einer sagt, z. B. Albu, ich hab 20 Minuten gebraucht, um den code zu knacken, dann hab ich wieder was dazugelernt.

lg joachim
 
da man mediator-Flash auch mit dem "normalen" Marcomedia Flash-Plugin anschauen kann, funktioniert es auch damit.
Und das Mediator kein AS schreibt, glaub ich nicht, da sonst die Weiterleitung (bei dem Tressor) auf forum.jswelt.de/... nicht möglich wäre.
 
Hi!
Original geschrieben von Microkotz
da man mediator-Flash auch mit dem "normalen" Marcomedia Flash-Plugin anschauen kann, funktioniert es auch damit.
Und das Mediator kein AS schreibt, glaub ich nicht, da sonst die Weiterleitung (bei dem Tressor) auf forum.jswelt.de/... nicht möglich wäre.
Zum Vergrößern anklicken....
Leider kann man mediator-Flash nur mit dem "normalen" Flash-Plugin anschauen. Ganz ohne plugin wäre schon schöner, bei html-Export kann mediator aber nicht soviel.
Ob mediator Actionscript im Programm-Hintergrund schreibt, ist zwar möglich, kann ich als Anwender aber nicht erkennen. Ich muß lediglich die url eintippen - das ist für mich noch kein Actionscript.

Nächste Frage: Besitzt hier unter den members irgendeiner so ein swf-Entschlüsselungsprogramm?

lg joachim
 
Original geschrieben von hjf
Wenn jetzt einer sagt, z. B. Albu, ich hab 20 Minuten gebraucht, um den code zu knacken, dann hab ich wieder was dazugelernt.
Zum Vergrößern anklicken....
20 Minuten braucht man dazu nicht, 5 vielleicht...
Allerdings sollte man wissen, wonach man suchen muß, da Du gesagt hast, da geht eine URL auf, war klar, daß eine URL in der Datei versteckt sein muß. Wobei versteckt schon zuviel gesagt ist. Die steht im Klartext drin, allerdings ist die SWF Datei gezippt, so daß man nicht einfach per Notepad oder Hexeditor in die SWF reingehen kann, um den String zu lesen.
Den Code muß man also nicht knacken, dazu ist der von Mediator erzeugte Code viel zu unübersichtlich und aufgebläht. Wäre aber auch machbar.

Original geschrieben von hjf
Ob mediator Actionscript im Programm-Hintergrund schreibt, ist zwar möglich, kann ich als Anwender aber nicht erkennen. Ich muß lediglich die url eintippen - das ist für mich noch kein Actionscript.
Zum Vergrößern anklicken....
Mediator hat keine andere Wahl als Actionscript zu schreiben, sonst bewegt sich in Flash, bzw. im Plugin gar nix. Allerdings übertreiben es die Jungs ein bißchen....

Original geschrieben von hjf
Nächste Frage: Besitzt hier unter den members irgendeiner so ein swf-Entschlüsselungsprogramm?
Zum Vergrößern anklicken....
Von ASV besitze ich höchstens die Demo Version, die nur die ersten 5 Frames entziffern kann. Und die hat bei Deiner Datei schon enorm rumgemeckert, anscheinlich ist der Code nicht ganz konform, oder meine Demi Version zu alt.
Ansonsten gibt es ein Tool, welches Flash Code auf unterer Ebene entschlüsselt (FLASM), das ist kostenlos und erlaubt auch das Modifizieren des Codes. Allerdings muß man da schon ein bißchen Ahnung haben, was man tut, denn es ist eine Stufe unter Actionscript angesiedelt und arbeitet mit AS / Flash Maschinencode.
 
Neben FLASHM gibt es auch noch FLARE das holt dir einfach sämtlichen ActionScript aus dem swf - File raus.

Original geschrieben von Albu
Allerdings übertreiben es die Jungs ein bißchen...
Zum Vergrößern anklicken....
das kann man wohl sagen :rolleyes:
 
Dankeschön Albu, Micro und .marc!

Mein Beispiel ist also nicht gerade ein offenes Buch, aber von Experten jederzeit zu lesen - hätte ich nicht gedacht - das wollte ich aber wissen.

"Die steht im Klartext drin, allerdings ist die SWF Datei gezippt," - Albu, gibt es eine Möglichkeit, außer den genannten Programmen, daß ich auch die Datei lesen kann? (Würde mich schon interessieren, was ich so treibe!) Mein entzipp-Programm sagt mir *.swf kann es nicht lesen.:confused:

lg joachim
 
Du meinst, gibt es ein deutschsprachiges Programm? Keine Ahnung, vermutlich nicht.

Wenn Du es als Flash 5 veröffentlichst, dann sollte die URL zumindest als Klartext in der Datei stehen. Und Du kannst sie mit Notepad aufmachen und dort nachschauen.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben