Ergebnis 1 bis 11 von 11
  1. #1
    Avatar von hjf
    hjf
    hjf ist offline Foren-Gott
    registriert
    06-04-2002
    Beiträge
    3.079

    mediatorflash - Sicherheitsabfrage

    Hi!
    Original geschrieben von Albu
    Flash traue ich schon, allerdings wer glaubt, daß sein SourceCode unlesbar in der .swf Datei versteckt (und damit geschützt) ist, der ist auf dem Holzweg.
    Dabei ist es völlig egal ob Macromedia Flash oder Mediator Flash oder Swish oder wie se ned heißen.
    Eine sichere Seite mit Flash macht man deshalb genauso wie man eine sichere HTML Seite gestalten würde: Session, sereverseitige Logik, SSL, usw.
    Das mag ja theoretisch richtig sein, nur wie sieht das in der Praxis aus?
    Ich hab dieses da gebastelt:
    http://www.spassturm.de/tresor/index.htm
    edit: Version 2:
    http://www.spassturm.de/tresor2/index.htm
    Wenn man dort die Zahl 276 einstellt, gelangt man auf eine andere webseite. (edit: Von der Fragestellung her sind beide Versionen identisch)

    Meine Frage: Wer von hier könnte die Adresse der anderen webseite einfach herausbekommen, wenn er die Zahl nicht kennt?
    (Ich könnte es nicht, ich müßte die 1000 Zahlenmöglichkeiten einzeln ausprobieren, bis ich Glück hätte. Das ganze könnte ich auch mit mehr Zahlenringen mit jeweils auch mehr Zahlen basteln, z. B. sechs Zahlenringe mit jeweils 49 Zahlen.)
    Wer von hier kennt eine Möglichkeit, die (momentan) tausend Zahlenmöglichkeiten automatisch einfach abzuchecken oder die Dateien der Seite so zu entpacken, daß er die linkadresse lesen kann (kann ich nicht) oder sonst irgendwie?

    Oder ist das script doch sicher?

    lg joachim
    Geändert von hjf (02-01-2004 um 10:49 Uhr)
    Falls jemand private Probleme hat, kann er sich gerne weiterhin an mich wenden. Ich kann nicht versprechen, daß ich helfen kann. Ich kann nur versprechen, daß ich es probiere!

  2. #2
    Microkotz ist offline Foren-Gott
    registriert
    01-12-2002
    Ort
    Germany --> Baden-Württemberg
    Beiträge
    2.240
    Schau dir mal das an. http://www.buraks.com/asv/. Das sollte alle Fragen klären
    [size=1]Ehe == errare humanum est == irren ist Menschlich
    # define god root

  3. #3
    Avatar von hjf
    hjf
    hjf ist offline Foren-Gott
    registriert
    06-04-2002
    Beiträge
    3.079
    Dankeschön Micro!
    Nur leider hilft mir das nicht weiter - ich kann kein englisch.
    (bzw. mein Schulenglisch, das ich vor über 30 Jahren mal gelernt habe und seit dieser Zeit nie wirklich brauchte, ist mittlerweile so schlecht, daß es mir hier nicht weiterhilft.)
    lg joachim
    Falls jemand private Probleme hat, kann er sich gerne weiterhin an mich wenden. Ich kann nicht versprechen, daß ich helfen kann. Ich kann nur versprechen, daß ich es probiere!

  4. #4
    Microkotz ist offline Foren-Gott
    registriert
    01-12-2002
    Ort
    Germany --> Baden-Württemberg
    Beiträge
    2.240
    das ist ein Programm, mit dem man ein swf-file "auseinander nehmen" kann. Soll heißen, dass du den Actionscript-code auslesen kannst. Auch kannst du Bilder, und ganze Sequenzen aus dem SWF extrahieren.
    [size=1]Ehe == errare humanum est == irren ist Menschlich
    # define god root

  5. #5
    Avatar von hjf
    hjf
    hjf ist offline Foren-Gott
    registriert
    06-04-2002
    Beiträge
    3.079
    Hi Micro!

    Nochmals dankeschön!
    Funktioniert das auch mit mediator-swf´s?
    mediator baut ja keine *.fla und arbeitet auch nicht mit Actionscript. Wie teuer ist das Programm?

    Meine Sicherheitsbedürfnisse wären ja schon befriedigt, wenn man, um die link-Adresse rauszubekommen, mehr als eine Stunde Zeit investieren muß oder ein teures Programm kaufen muß.
    Natürlich, Bankgeheimnisse und ähnliches gehören nicht ins internet, auch nicht auf "sichere" Seiten.

    Momentan trau ich das Knacken der mediator-swf-Dateien nur den Entwicklern von mediator zu, also den Leuten, die diese *.swf´s Herstellung entwickelt haben, evtl. auch den macromedia-Entwicklern. Nur, ob Dänen oder Amis Interesse an deutschen webseiten haben?

    Wenn jetzt einer sagt, z. B. Albu, ich hab 20 Minuten gebraucht, um den code zu knacken, dann hab ich wieder was dazugelernt.

    lg joachim
    Falls jemand private Probleme hat, kann er sich gerne weiterhin an mich wenden. Ich kann nicht versprechen, daß ich helfen kann. Ich kann nur versprechen, daß ich es probiere!

  6. #6
    Microkotz ist offline Foren-Gott
    registriert
    01-12-2002
    Ort
    Germany --> Baden-Württemberg
    Beiträge
    2.240
    da man mediator-Flash auch mit dem "normalen" Marcomedia Flash-Plugin anschauen kann, funktioniert es auch damit.
    Und das Mediator kein AS schreibt, glaub ich nicht, da sonst die Weiterleitung (bei dem Tressor) auf forum.jswelt.de/... nicht möglich wäre.
    [size=1]Ehe == errare humanum est == irren ist Menschlich
    # define god root

  7. #7
    Avatar von hjf
    hjf
    hjf ist offline Foren-Gott
    registriert
    06-04-2002
    Beiträge
    3.079
    Hi!
    Original geschrieben von Microkotz
    da man mediator-Flash auch mit dem "normalen" Marcomedia Flash-Plugin anschauen kann, funktioniert es auch damit.
    Und das Mediator kein AS schreibt, glaub ich nicht, da sonst die Weiterleitung (bei dem Tressor) auf forum.jswelt.de/... nicht möglich wäre.
    Leider kann man mediator-Flash nur mit dem "normalen" Flash-Plugin anschauen. Ganz ohne plugin wäre schon schöner, bei html-Export kann mediator aber nicht soviel.
    Ob mediator Actionscript im Programm-Hintergrund schreibt, ist zwar möglich, kann ich als Anwender aber nicht erkennen. Ich muß lediglich die url eintippen - das ist für mich noch kein Actionscript.

    Nächste Frage: Besitzt hier unter den members irgendeiner so ein swf-Entschlüsselungsprogramm?

    lg joachim
    Falls jemand private Probleme hat, kann er sich gerne weiterhin an mich wenden. Ich kann nicht versprechen, daß ich helfen kann. Ich kann nur versprechen, daß ich es probiere!

  8. #8
    Avatar von Albu
    Albu ist offline Foren-Gott
    registriert
    04-07-2001
    Beiträge
    13.501
    Original geschrieben von hjf
    Wenn jetzt einer sagt, z. B. Albu, ich hab 20 Minuten gebraucht, um den code zu knacken, dann hab ich wieder was dazugelernt.
    20 Minuten braucht man dazu nicht, 5 vielleicht...
    Allerdings sollte man wissen, wonach man suchen muß, da Du gesagt hast, da geht eine URL auf, war klar, daß eine URL in der Datei versteckt sein muß. Wobei versteckt schon zuviel gesagt ist. Die steht im Klartext drin, allerdings ist die SWF Datei gezippt, so daß man nicht einfach per Notepad oder Hexeditor in die SWF reingehen kann, um den String zu lesen.
    Den Code muß man also nicht knacken, dazu ist der von Mediator erzeugte Code viel zu unübersichtlich und aufgebläht. Wäre aber auch machbar.

    Original geschrieben von hjf
    Ob mediator Actionscript im Programm-Hintergrund schreibt, ist zwar möglich, kann ich als Anwender aber nicht erkennen. Ich muß lediglich die url eintippen - das ist für mich noch kein Actionscript.
    Mediator hat keine andere Wahl als Actionscript zu schreiben, sonst bewegt sich in Flash, bzw. im Plugin gar nix. Allerdings übertreiben es die Jungs ein bißchen....

    Original geschrieben von hjf
    Nächste Frage: Besitzt hier unter den members irgendeiner so ein swf-Entschlüsselungsprogramm?
    Von ASV besitze ich höchstens die Demo Version, die nur die ersten 5 Frames entziffern kann. Und die hat bei Deiner Datei schon enorm rumgemeckert, anscheinlich ist der Code nicht ganz konform, oder meine Demi Version zu alt.
    Ansonsten gibt es ein Tool, welches Flash Code auf unterer Ebene entschlüsselt (FLASM), das ist kostenlos und erlaubt auch das Modifizieren des Codes. Allerdings muß man da schon ein bißchen Ahnung haben, was man tut, denn es ist eine Stufe unter Actionscript angesiedelt und arbeitet mit AS / Flash Maschinencode.
    1. Get people to play Space Taxi
    2. Sell real estates on neptun
    3. Profit!

    IE is not a browser, it is a scream.


    Outside of a dog, a book is man's best friend. Inside of a dog, it's too dark to read.

  9. #9
    Avatar von .marc
    .marc ist offline Lebende Foren-Legende
    registriert
    26-12-2002
    Ort
    Schweiz / Biel
    Beiträge
    1.589
    Neben FLASHM gibt es auch noch FLARE das holt dir einfach sämtlichen ActionScript aus dem swf - File raus.

    Original geschrieben von Albu
    Allerdings übertreiben es die Jungs ein bißchen...
    das kann man wohl sagen
    Shit doesn't happen, it's produced by an asshole.
    brain-dump.org || Marc Tanner's web log

  10. #10
    Avatar von hjf
    hjf
    hjf ist offline Foren-Gott
    registriert
    06-04-2002
    Beiträge
    3.079
    Dankeschön Albu, Micro und .marc!

    Mein Beispiel ist also nicht gerade ein offenes Buch, aber von Experten jederzeit zu lesen - hätte ich nicht gedacht - das wollte ich aber wissen.

    "Die steht im Klartext drin, allerdings ist die SWF Datei gezippt," - Albu, gibt es eine Möglichkeit, außer den genannten Programmen, daß ich auch die Datei lesen kann? (Würde mich schon interessieren, was ich so treibe!) Mein entzipp-Programm sagt mir *.swf kann es nicht lesen.

    lg joachim
    Falls jemand private Probleme hat, kann er sich gerne weiterhin an mich wenden. Ich kann nicht versprechen, daß ich helfen kann. Ich kann nur versprechen, daß ich es probiere!

  11. #11
    Avatar von Albu
    Albu ist offline Foren-Gott
    registriert
    04-07-2001
    Beiträge
    13.501
    Du meinst, gibt es ein deutschsprachiges Programm? Keine Ahnung, vermutlich nicht.

    Wenn Du es als Flash 5 veröffentlichst, dann sollte die URL zumindest als Klartext in der Datei stehen. Und Du kannst sie mit Notepad aufmachen und dort nachschauen.
    1. Get people to play Space Taxi
    2. Sell real estates on neptun
    3. Profit!

    IE is not a browser, it is a scream.


    Outside of a dog, a book is man's best friend. Inside of a dog, it's too dark to read.

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •