Italian Reverse engineering, sicurezza connessioni, ridurre rischio

[calsdn]

Se parliamo di client alternativi secondo me è davvero difficile distinguerli. Perché ogni tipo di identificazione che può richiedere il server il client può sempre falsificarla.

Tornando a MSN Messenger, aveva un sistema che cercava di identificare il client ma non è mai stato sufficiente.

... snip

Pienamente d'accordo.

Ecco perché dicevo che il 'server dispatcher' invia uno script al client.
Il client esegue lo script. Lo script potrebbe banalmente calcolare l'hash del file in esecuzione (client) ovvero di se stesso, inviare poi il risultato al 'server dispatcher' che poi confronta quanto ricevuto con quanto memorizzato. Se combacia allora non è un'altra app che tenta di conversare con il server.

 

[Star-Dust]

Il client falso potrebbe ignorare lo script ricevuto e eseguire uno modificato Adoc oppure inviare il codice hash già calcolato in precedenza

 

[Star-Dust]

Si potrebbe avanzare l'idea di mandare sempre uno script diverso che genera codici hash diversi perché fa calcoli diversi un client falso non può prevedere.... Anche se una cosa simile la fanno alcuni virus che si auto-modificano ad ogni infezione...

Ma hai tutti questi buontemponi che vogliono entrare nel server?

 

[LordZenzo]

Ma hai tutti questi buontemponi che vogliono entrare nel server?

ne esistono di due tipi, quelli buoni che lo fanno solo per dar prova di se, e quelli cattivi che cercano sistemi per fregare soldi in qualche modo
e il qualche modo va dal furto delle credenziali di carte e banche, fino alla costruzione di armi di sterminio di massa.....
naturalmente i secondi ignoreranno il tuo server e i primi una volta visto che non hai quei dati lo lasciano stare
i buoni.... si faranno qualche partita gratis, se si tratta di un gioco

 

[calsdn]

Ma hai tutti questi buontemponi che vogliono entrare nel server?

No.

Quando dal concept passo al progetto mi pongo tutta una serie di domande e credo che l'aspetto sicurezza non vada mai trascurato, per quei contesti dove abbia senso.

Molte volte ci si concentra sulle specifiche di quello che si deve progettare pesando solo a grafica, database, user experience e aspetti come sicurezza, scalabilità futura, database upgrade, disater recovery, load balancing, service level agreement (SLA) ... non si guardano.
Molte APP sono stand-alone e quindi diverse cose non ha senso prendere in considerazione.
Mentre le altre APP che lavorano con i service remoti dovrebbero tener conto di questi aspetti e vedere fino a che punto li riguardano.
Perlomeno porsi la domanda.

bye a tutti