Send sikkert variabler til server

Ved ikke at lade browser sende den.

Naar de spiller gemmer du score i session og naar den skal gemmes saa henter du den fra session.

Kan du give et eksempel på hvordan jeg gør det, så den gemmer sessionvariablen når brugeren har gennemført et spil?

<ole>

Hvad der foregår i browseren, er fuldstændig åbent. Hvis dit spil f.eks. fyrer en form af mod serveren, når spillet er færdigt - og spillets pointantal/score bliver sendt i et INPUT felt - vil der altid kunne rettes i pointantallet. Også selvom feltet er hidden, og brugeren ikke umiddelbart kan skrive i det.

En form kan der altid manipuleres med, eller et script kan simulere en form og sende de ønskede data.

Hvis du vil lave et spil, som brugeren ikke kan fiddle med, må du gøre det i en teknologi, der ikke 'kan pilles i' - og det kan være overordentlig kompliceret på WWW  =)

/mvh
</bole>

Som jeg forstår det, afvikles spillet alene på klienten, og data sendes til serveren.

Det bedste vil være hvis point-beregningen kan foregå på serveren. F.x. hvis det handler om at finde en optimal vej, som giver point, så sender man brugerens vej til serveren, og lader den beregne point.

Dermed er der ingen grund til at stole på noget på klienten.

Kan du ikke det, så er der ingen 100% sikker vej. Det er ikke sikkert, det behøver være 100%, så et par muligheder:

1) Kryptere point-tallet, og dekryptere på serveren. Problemet er at krypteringsalgoritme og dermed kodeord, skal være på klienten, og dermed vil kunne aflures.

2) Send point-tallet som klartekst, men en passende hash-værdi som kontrol. Det kunne være (ex: point=117):  md5("nogetsuperhemmeligt:117"). Samme problem som 1)  (men lad være med at sende md5("117") - det vil kunne aflures for nemt)

1) og 2) holder nok script-kiddies på lang afstand. Men ingen af dem er sikre, som sådan.

Det er ikke svaert at lave en sikker loesning. Spil logikken skal bare vaere server side.

rasmus?

Beklager jeg først svarer nu, men gik helt død i projektet..

Ved mine spil skal man løse nogle opgaver på tid, derfor kan det ikke lade sig gøre på serversiden :-/

Jeg må i gang med nogle algoritmer. Overvejer at sende fx 100 variabler med tiden (med hver sin algoritme) afsted, og så på server siden kun bruge en bestemt af dem.

Lydet det helt dumt??

/Rasmus

Det er vel ikke muligt at sige, om det er fornuftigt i din situation, men det er altså ikke et sikkert system.

Det er "security by obscurity".

Jeg tror vis det er på tide at lukke. Vil I alle være venlige at oprette et svar så deler jeg ud.

mvh
Rasmus

Ingen point til mig, tak.

Heller ikke til mig, tak  =)

hvis du synes

Mange tak for jeres indspark :-)

mvh
Rasmus