- 締切済み
flash +αでパスワード認証する場合のセキュリティは低?
こんばんわ!恐れ入りますが、以下のflashコンテンツで セキュリティがある程度守られてるか、見て頂けないでしょうか? よろしくお願いしますm(_ _)m flash,php,mySQLを知っていますが、認証については殆ど知識がありません。 凄腕のハッカーを除いて、そこそこPCの使い方に慣れてる方では突破できない程度で保護したいと思ってます。 コンテンツは デスクトップで動く.exe(flashプロジェクタ)を作っています。 内容は、ストリーミングmp3プレイヤーです。 ・会員のみが視聴可能なmp3プレイヤー ・mp3は自社wwwサーバーにてライブ配信している音声を読み込む。 wwwサーバーは仕様上、パスワードを設定できない(URLが分かる とアクセスできてしまう) ★構築で特に気を使いたい点は、 (1)mp3があるwwwサーバーのURLを管理者以外からは 分からなくしたい (2)mp3が聞けるのは会員のみ(認証が必要) おしえてgooでflashの情報セキュリティを調べましたが、ActionScriptだけでは簡単に解析されてしまう様なので、 <認証> Flash.exe → php → mySQL(wwwサーバーのURL,会員パス 格納) パスワード入力 SQL接続 データ引き出し <認証後> mySQL → php → Flash.exe wwwサーバURL送信 結果をflashに 取得したURLを元に wwwサーバにmp3をリクエスト,再生 と構築しようと思います。これではActionScriptのみと同様、簡単に突破できてしまうんでしょうか?
- みんなの回答 (2)
- 専門家の回答
みんなの回答
- Yambal_net
- ベストアンサー率42% (12/28)
>経路での盗聴対策にSSLを勉強せねば。 SSLは通信内容の暗号化ではありますが、通信先を隠蔽できるものでは無いのでご注意ください。 >Crypt(暗号化)した認証に加え、mp3のあるURLを定期的に変える必要があるということでしょうか? うーん... これ、どうやって説明しようかと思案して途中でやめちゃったんですが... 例えば https://hoge/movie.php?id=h6vZJf1fdmJJJKkie64 とかでmp3ファイルが帰ってくる仕様だとします (拡張子はヘッダで指定できれば必要ないように思います) この引数部分...[h6vZJf1fdmJJJKkie64]が ユーザ毎×アクセス毎×動画毎に変動すれば、 あてずっぽうにしても、盗み見は困難になるということです 方法としては 認証時にチケットを発行し、サーバとクライアントで共有します (チケットはセッションIDでもかまわないのかもしれません) ユーザID+ユーザPwd+動画ファイル名 の連結をチケットをSeedにして暗号化した結果が 仮に[h6vZJf1fdmJJJKkie64]だとします サーバ側ではチケットで復元して、 ユーザチェック、ファイルをリレーする といった感じでしょうか。 短時間で、考えてみたので穴があるかもしれませんが 例えば趣向は違いますが、Flickrの認証&画像取得APIなどは なるほど、と感心した覚えがあります。 どこまでやるか、という事に尽きますが どちらかというとサーバ側のセキュリティや 不正アクセスの監査等もかなりかなり重要で効果的だと思います。 じゃあ、私ならどうするか、ですが認証サーバは頑張って作るにしろ、 まず、Flashから呼び出し可能で動画配信サーバで盗み見が難しいサービスを探してみます。 このへんの勉強って、徒労に終わったり、頑張っても報われなかったり、専門家にはかなわなかったりしますからねぇ...
- Yambal_net
- ベストアンサー率42% (12/28)
swfを解析するかもしれないが、通信経路をモニタしたりしない というレベルのハックだとします。 (通信をモニタしたら、サーバのURLはわかりますから) まずswf内に動画サーバのURL等の情報は書かないほうが良いでしょう。 (認証用サーバのURLは仕方ないかもしれないですね) 経路はSSL。 動画を固定URLで見れない工夫をすれば完璧ですかね(チケットと動画名とユーザ情報でをCyptして問い合わせして、毎回認証テスト、OKなら動画を返す等) ちょっと要件がわかりませんが、 今ならAIRで色々工夫ができて良いかもしれませんよ。
お礼
Yambal_netさん、ご回答ありがとうございます! なるほど、どの程度のセキュリティか分かり、参考になりました。 通信経路をモニタなんてできてしまうんですね(A^^;) swfにはサーバーのURLは格納せず、DB(mySQL)に格納して、phpで引き出そうと考えています。これならswfにサーバーにURLを書くより安全ですよね?経路での盗聴対策にSSLを勉強せねば。。 一つ確認しても宜しいでしょうか? >動画を固定URLで見れない工夫をすれば完璧ですかね Crypt(暗号化)した認証に加え、mp3のあるURLを定期的に変える必要があるということでしょうか?
お礼
より突っ込んだ質問に対して、丁寧にご回答頂き、 ありがとうございましたー!!!! 現状、数日前から不正アクセス対策の書籍を読みながらの作業です。SSL、セッション、暗号化は未だ漠然としてますが(すみません)、対策内容が明確になり、大変参考になります。 まとめますと、やった方が良い事は ・データ送受信はSSL(通信経路でデータ暗号化) ・サーバークライアント間の暗号化(アプリケーション間で暗号化) ・サーバーのネットワークセキュリティと監視 ということでしょうか。 >ユーザID+ユーザPwd+動画ファイル名 ちょっと勉強してきました。。。セッションID…つまりサーバーとクライアント間を、共通鍵でやりとりするイメージですね?なるほど。。 >どこまでやるか、という事に尽きますが サーバーの管理等、やはり広範囲でセキュリティを固めた方が良いですよね。…サイトの制作から始まり全て担当してるので、私もサーバー管理は委託がベストだと考えています。(知識は増えるが、これは広すぎる~。汗) しかし、1,2年は50人程度の利用者でテストされる予定ですので、費用対効果から考えると、正式稼動までしばらくは自分でやらないと。。。涙