Salut salut.
Voila je suis entrain d'apprendre un peut le langage php et la base du sql.

Je develop une plateforme de jeux qui utilise a la fois le ftp et le sql et je me demander quelle est le niveau de sécurité de game maker.


Tous d'abord la sécurité sql :

*Fonctionement
J'ai mis sur mon serveur web un .php qui permet de fair les manip néssésaire au jeux, il faut lui indiquer le mdp de la base sql pour que le script foncitonne.
Avec GameMaker (39dll) j'envoi une requête au serveur pour executer le .php
(qqchose comme /sql.php?pass=XXX&action=register )

*Question
Est-ce qu'un pirate peut réussir a intercepter la requete que j'envoi au serveur via 39dll ? Si c'est le cas il aurat accé au mdp de la base sql et donc il poura modifier a sa guise la base de donnée...

Ensuite la sécurité ftp :

*Fonctionnement
J'utilise une petite dll avec game maker pour uploader de petit fichier sur mon serveur ftp. Les fichier ne sont pas plus gros que 50 bytes donc c'est presque instantané, je me connect j'upload et je déco tous de suite apré.
Sachant que je n'utilise pas de variable pour stoquer le pass et l'user du ftp, elle sont transmise directement lors de la connection au ftp.

*Question
Pareil que pour sql, est-ce qu'un pirate pourait intercepter le mdp et l'user du FTP ?
Si oui j'ai une solution alternatif, fair comme pour le sql, un php qui uploaderais le fichier voulut sur le ftp (comme c'est un petit fichier le serveur accepte l'upload via apache)

Désoler pour le double post mais après approfondissement j'ai découvert ceci :
Grâce a un snifer, même un débutant peut trouver très facilement ce que GameMaker fait avec le net.

*SQL
La request PHP est visible sous forme d'hyper text c'est donc très simple de chopper le password : soi je l'inclut dans le php (au quel cas il suffit de télécharger le .php our voir le mdp dedan) soit je le note en url du type .php?pass=password. Dans les deux cas on peut le recup :



*FTP
Idem, il suffit de trouver la demande de connection USER et PASS pour pouvoir entrer dans le ftp.





Je sais qu'il est impossible de ne pas afficher ceci sur les snifer donc le seul moyen serait de passer par un SSL (SecureSocketLayer) comme pour les payment online ou un autre crypter, quelqu'un sais cmt ?

En effet, le plus simple serait d'utiliser un flux https... Je ne vais pas te dire comment, je ne sais pas Sinon, en effet il faut crypter, mais attention, il verra tout de même le mot de passe crypté, alors il faut qu'il n'y ait que Game Maker qui puisse envoyer ce Password... Ça rajoute un peu de difficulté, mais le mieux je crois que c'est vraiment https. Regardes aussi du coté des hash

Oui.
Bin c'est bien ce que je disé, le https c'est du http + ssl .
Mais je peut pas fair sa car il faut que j'install le protocole sur le serveur et j'ai poas accé au serveur. Mais si j'y avais accé il faut payer pour avoir un certificas sinon sa marche pas (le ssl a besoin d'un certifica client et serveur ppour fonctionner)

Voici un petit screen de données protéger par un tunnel SSL v3 :




Enfin, pour le hash sa servirais a rien car le pirate entrera le mot de passe hasher dans un client ftp (comme FileZila) ou sql et sa marchera puisque sa marche aussi avec GM.

Il reste donc plus beaucoup de solution :

1- Détécter et fermer tous programme de type snifer et de piratage.

2-Vérouiller le .php seulement au utilisateur connecter au ftp (et donc insérer le mdp dedans) mais le ftp reste ouvert au pirateur il faut trouver un moyen pour ne pas s'y connecter directement.

3-Hasher ou boruiller les requêtes avant de les envoyer mais il faut un serveur qui sache manipuler les requête sécuriser... sa revient casiment au même que SSL

Je ne vois pas ce que tu veux faire, sa serait bien de détaillé ton objectif, mais niveau sécurité c'est impossible d'atteindre la perfection surtout que connecter directement game maker à un ftp c'est prendre le risque de se faire chopper ses identifiants de ftp, que ce soit avec un décompilateur pour voir le contenus de l'exe ou un sniffeur pour lire le contenus d'un message. Niveau php je vois pas pourquoi tu fais une requête contenant un mot de passe.

Il existe des solutions en utilisant en plus du login/password une somme de contrôle qui peut par exemple être calculée avec une sorte de MD5 de l'heure plus un nombre que toi seul connais. Le serveur calcule aussi ce nombre et le compare avec celui de la requete. Si les nombres sont identiques alors la requête est validée.

Comme les connexions ne sont pas instantanées, il vaut mieux ne pas tenir compte des secondes dans ce calcul. Ainsi, même si un pirate choppe la requete, il ne pourra utiliser le même hash que pendant moins d'une minute. C'est suffisant dans la plupart des cas.

Réponse pour ombre>
Bin oui mai décompiler un exe est quand même beaucoup plus dur que d'utiliser un sniffer, surtout avec le type d'exe de GM qui n'est pas bien populaire et pas trop mal protéger.
Le la réponse au mdp du sql, je pencais que le pirate yarais d'abord voir ce que fais le fichier php avant d'essayer de sniffer le GET envoyer par 39dll, donc je ne voulais pas mettre le mdp dedans mais sa revient au même.


Mon objectif plus précisément ?
Emecher un pirtateur de se connecter sur mon ftp ou ma base sql tous simplement. Pour l'instant on vois les requete de game maker très clairement avec n'importe quelle sniffer, pour le FTP il envoi un message contenant l'user et un autre contenant le pass non chiffré.
Pour la sql il envoi GET url/file.php?pass=sql password&...
Il faut trouver un moyen soi pour ne pas afficher les requete soit empecher un utilisateur de se avec le mdp insérer dans GM.


Réponce pour Kryptos>
C'est effectivement la soultion la plus simple et efficace que tu décrit, voir un peut plus haut j'en parle, c'est en quelque sorte une forme se SSL (=https ou ftps)

Mais il met très difficile de mettre en place ce protocole pour deux raisons,
Tous d'abords car je suis sur chez un hébergeur qui voisine plusieurs domaine dans la même machine et qu'il leur est impossible de d'effectuer un protocole de ce type pour seul un domaine, je leur avais fait une demande, je cite leur réponce :

Citation:

[...] Non, ce n'est possible que sur certaines configurations pros, pas la votre , car la plupart de vos voisins ne sauraient l'utiliser ; or on ne peut avoir les 2 methoses qui cohabitent [...]

Et la deuxième raison c'est que je ne suis pas un proffessionel, pour fair valider un certificas c'est chère car il faut reserver une ip sur un serveur qui verifira le certifica de chaque client pour ne pas rendre ce système inutile, c'est minimum 25E par moi (uniquement le système SSL), certaine offre monte jusqu'à 600Euro ...

_________________
Je suis un dans le GM Quiz!
:þ
while(projet="échouer")
{
projet="recommencer"
}

Mais est-ce qu'il faut directement que l'utilisateur se connecte à la base de données ? Normalement, on essaie de faire passer le moins d'informations possible et on traite ce qui est important du côté serveur... Si tu crées un compte pour chaque utilisateur, chaque personne entre son propre mot de passe et donc utiliser un snifer ne sert plus à rien... Tu fais un hash de ce mot de passe, que tu envoies au serveur, ensuite, tu compares les deux hash, et s'ils sont identiques, tout est correct... Tu fais ensuite des requêtes d'informations, ou quelque chose dans le genre, je ne connais pas (encore) le fonctionnement des bases de données

Firanger>
Tu ne me suit pas.
La faille n'est pas de récuperer le mdp d'un compte uniquement.

La faille est ici :
L'utilisation du sniffer rêvele absolument otute les requêtes émise par l'ordinateur (et donc englobe toute les applications).
Dans ces requpete figure le mot de passe et le nom d'utilisateur pour accéder a mon serveur FTP et SQL. Donc le malin qui choppe les info (suffi de lancer le sniffer un peut avant d'uploader des info via mon jeu, sa arrive quand on créer un compte mais aussi a chaque fois que le joueur met son profil a jour ou chose du genre) il peut donc accéder a TOUS les compteet les modifier a sa guise dans tous les sens, les suprimer, saturer le serveur, ...


Kryptos > J'avais mal compri ton raisonement. effectivement c'est une très bonne idée, mais le mdp de la sql reste a découvert et le pirate ira donc editer la base avec phpmyadmin avec le mdp tous simplement ...




J'ai peut être une solution, reste a la mettre en place >

Chiffrer toute les requêtes qui sorte de l'ordinateur les envoyer sur un serveur qui les déchiffre et les retransmette normalement, le problème c'est Un, comment installer ce systèm et Deux, sa baisser énormément le débit pour toute les autre applications.
Il y a par exemple Tor Project qui peut fair sa :
J'ai essayer mais sa change rien , le sniffer voi toujour les requête non-chiffré...

Alors ce qu'il fraudais fair c'est uploader sur un de mes serveur différent de celui que j'utilise pour mon jeu, un système de déchifrage des donné que le serveur recoi et les execute pui renvoi une réponce au client, pour que sa soi compatible avec GM il faudrait par ex fair sa en php , sa va être vraiment chaud tous sa.

Du nouveau, un moyen simple pour protéger la base sql est de fair en sorte que le pirate ne puisse pas télécharger le fichier .php pour voir le password de la sql qu'il contient ;
exemple : essayer de télécharger le fichier php permettant le login de ogame et vous vérez : login2.php

Le serveur renvoi une erreur il est donc impossible d'avoir le fichier d'origine car l'execution se fait sur le serveur et que l'on est obliger d'envoyer une demande d'execution du fichier par le serveur pour le télécharger.

Il faut désormais trouver le moyen de renvoyer une erreur car chui nul en php mais sa na plus gd chose a voir avec GM.