Applet Authentizität garantieren

[Cyph3rlink]

Ich habe mit dem Gedanken gespielt eine Art Browsergame zu schreiben, basierend auf Java Applets. Und zwar sollen möglicht viele ressourcenlastige Berechnungen client-seitig ausgelagert werden. Allerdings bestünde dann die Gefahr das jemand das Applet decompiled und Änderungen am Quelltext vornimmt. Er hätte dann alle Verbindungsdaten und könnte zum Beispiel die Datenbank manipulieren.
Ich weiß zwar, dass es zum Beispiel die Möglichkeit gibt .jar-packages zu signen, allerdings wird so immer nur client-seitige Sicherheit garantiert.
Gibt es eine Möglichkeit diesen Mechanismus auch dafür zu benutzen, das serverseitig überprüft wird ob das Applet berechtigt ist? Oder hat jemand eine andere Idee der man nachgehen könne um oben angesprochene Manipulationen weitestgehend zu vermeiden?

Vielen Dank schon mal.

 

[Gast]

die datenbaank verbindung nicht in im applet machen sondern ein phpscript oder sonstiges benutzen und dann im applet diese scripte aufrufen

 

[Cyph3rlink]

was verhindert dann aber, dass das applet benutzt wird um die php skripte aufurufen und ihnen falsche werte zu übergeben?
ich frage mich halt ob es eine möglichkeit gibt, dass das php skript nur mit ganz betimmten am besten irgendwie signierten applets funktioniert?

 

[EOB]

dann obfuscate doch dein applet?

gruesse

 

[Cyph3rlink]

damit erschwere ich das aber nur und machs nocht nicht unmöglich oder? na gut unmöglich wird man so etwas eh nie machen können. aber ob obfuscaten ausreicht?

 

[EOB]

also wenn du string encryption reinnimmst, dann sollten die datenbankbefehle auch nicht mehr lesbar sein. klar kann man das auch irgendwie lesen, aber ich wuerde sagen, es ist schon um einiges sicherer! was genau fuer ein applet ist das denn? wuerde es sich denn lohnen, dass rauszubekommen? ich empfehle uebrigens zelix oder jshrink als obfuscatoren...

gruesse

 

[RaoulDuke]

Ich würde die ganze Idee einfach schnell wieder vergessen, sowas krigt man so oder so nicht vernünftig sicher. Bei solchen Ideen rollen sich einem ja die Fussnägel auf.

 

[Gast]

was das phpscript ausführt muss natürlich auch noch gecheckt werden, aber kann zumindest keiner einfach deine db löschen oder sowas

 

[RaoulDuke]

Und was willst du dann auf die Clientseite auslagern? Gib mal ein paar Beispiele.

 

[Cyph3rlink]

ich würd zum beispiel gerne die kampfberechnungen auslagern, weil die ja sehr ressourcenlastig sind. das der server sich nur merk welche kämpfe auszutragen sind und dass sie dann beim ersten beteiligten der online geht ausgeführt werden.
oder das auch einfach zum beispiel wenn ressourcen ausgegeben werden, das schon clientseitig zusammengefasst wird damit nicht so viele datenbank zugriffe und ähnliches serverseitig nötig werden.
aber vielleicht is das ganze doch einfach nicht zu realisieren...
ich gebe halt ungern auf und dachte es gibt vielleicht noch irgendwelche möglichkeiten auf die ich nicht gestoßen bin

@Gast: wenn ich alles serverseitig noch einmal gegenkontrolliere, dann kann ich es doch eigentlich auch komplett gleich serverseitig machen oder?

 

[RaoulDuke]

Du kannst ein Applet auf einem Clientrechner einfach aus Sicherheitsgründen keine Kampfberechnungen machen lassen. Dazu bräuchte das Applet mehr Rechte als eine Komponente auf einem Client Rechner haben sollte. Du kannste niemals sicher sein das nicht jemand das Applet austauscht, du kannst niemals verhindern das jemand das Applet auseinandernimmt, sich anschaut wie die Schnittstelle zum Server funktioniert und dann auf anderem Wege Mist einspielt. Und egal wie gut ein Obfuscator ist, damit macht man den Code vielleicht schlechter lesbar, aber im Endeffekt verhindert es einfach nicht das ein User damit Unsinn anstellen kann.