Игнорировать большое количество сайтов с файлом политики сокетов TCP / IP для Flash

Позвольте мне объяснить мою ситуацию. Я использую флэш-сокеты для создания встроенного приложения чата. все отлично работает. Я хочу разрешить всем сайтам, на которых встроено это приложение, подключаться к моему серверу, за исключением некоторых сайтов.

Моя проблема в том, что количество сайтов, которые я не хочу подключать к моему серверу, очень велико (4-5k). В настоящее время из того, что я видел, все, что вы можете сделать, это указать в своем файле политики домены, которые вы разрешаете / не разрешаете.

Я ищу способ для flash player отправить мне домен, в который встроена flash, и я мог бы вернуть ответ о принятии / отклонении. Я знаю, что могу отправить информацию о сайте, на котором встроена флеш-память, с помощью ActionScript, но это очень легко смоделировать.

Итак ... знаете ли вы какую-либо реализацию на основе флэш-памяти по этому поводу, или вы знаете лучший способ добиться этого?

Спасибо


sockets flash cross-domain-policy actionscript-3 xmlsocket
person Doua Beri    schedule 20.04.2011    source источник
comment
Почему бы вам не использовать белый список IP-адресов, чтобы разрешить соединение сокетов на вашем чат-сервере?   -  person Simon Eyraud    schedule 20.04.2011

Ответы (1)


arrow_upward
0
arrow_downward

У вас может быть несколько файлов политики сокетов. Если у вас есть белый список разрешенных доменов, вы можете создать сценарий для создания файла политики для каждого домена, если хотите. Это позволит обойти каждое соединение, требующее загрузки одного файла политики с более чем 5000 записями.

Но имейте в виду, что полностью обезопасить это невозможно. Независимо от того, что вы делаете, есть способ подделать контекст клиента. Вы можете использовать обфускаторы, которые шифруют SWF, чтобы «поднять планку хакеров», но в конечном итоге вы доверяете клиенту сообщить свой контекст. Если вам нужна реальная безопасность, вам нужно, чтобы ваша программа чата имела систему авторизации, основанную на именах пользователей, паролях или секретных ключах, и не пыталась управлять разрешенными доменами, но вместо этого думайте об этом с точки зрения авторизованных пользователей.

person Adam Smith    schedule 20.04.2011
comment
Спасибо за ответ. Я знаю, что нет ничего безопасного на 100%. Я хочу, чтобы никто не использовал встроенный swf для подключения к моему серверу, если я тоже. Текущая кроссплатформенная система политик кажется приемлемой, однако я думаю, что у нее могут возникнуть проблемы, когда вам нужно разрешить / заблокировать большое количество доменов. Я не уверен, что знаю, как создать несколько файлов политик для каждого домена. Насколько я знаю, flash player отправил мне сообщение с запросом политики, и я отправил ему ответ с разрешенными / заблокированными доменами. Не могли бы вы дать мне более подробную информацию о нескольких файлах политик. - person Doua Beri; 21.04.2011
comment
Не обращайте внимания на этот первый бит. Я думал о том, что однажды сделал для файлов междоменной политики, что было проще, потому что вы могли отправить домен в запросе. У вас также может быть несколько файлов политики сокетов, но вам нужно будет использовать разные порты (далеко не идеальное решение, учитывая проблемы с брандмауэром). Вам, вероятно, лучше использовать подстановочный знак * для разрешенных доменов и выполнить отдельное квитирование аутентификации после установления соединения с вашим чат-сервером. - person Adam Smith; 21.04.2011