'ai un soucis de sécurité avec amfphp / flash! Vu qu'on peut décompiler très facilement les swf + voir les urls appelés, on peut lancer n'importe quelles fonctions d'amfphp depuis un autre swf sans avoir à être sur le serveur!
Pourquoi? car le swf s'éxécute en local chez l'utilisateur donc je ne peut pas vérfier l'ip dudit swf!
En cherchant un peu j'ai trouvé une parade avec une variable de session, on créer un id sur l'index.php du swf, on passe l'id au swf qui pourra ensuite l'envoyer a chaque fois que j'appelle une fonction php! On vérfie que l'id est bien le même que celui de la session courante et bingo!
Bingo, bingo en fait non... Il suffit d'ouvrir un autre onglet du navigateur et de passer en dur l'id de la session et ce passe sans probleme...
j'ai trouvé une solution pour les fonction nécessitant une authentification mais celle qui en ont pas besoin comme un banal formulaire de contact n'est pas sécuriser et peut etre utilisé pour le spam par exemple...
voici mes questions:
1) Avez une solution pour protéger les fonctions d'amfphp?
2) Mon systeme de sessions actuel fonctionne a part si j'ouvre un autre onglet...peut on empecher de partager les sessions a travers les onglets?
si ce n'est pas clair n'hésitez pas a me le dire!
merci
PS : j'ai posté dans sécurité mais vu le peu de post qu'il y a et de fréquentations, je poste ici en esperant une réponse. Si un modo passe par là je comprendrais très bien que vous effaciez ce post !
