Sicherheit einer Online Highscore Datenbank

AlexanderSupertramp

Forum-Beiträge: 4

11.03.2013, 17:45:17 via Website

11.03.2013 17:45:17 via Website

Hallo,

ich möchte bei einem Spiel eine online Highscoreliste hinzufügen, und will es mit PHP und MySQL machen.

Ich weiß aber nicht wie ich das ganze absichern kann, sodass man z.B. nicht über den Browser, wenn man die URL kennt, neue Highscores eintragen kann.
Wie kann ich das am besten absichern?

Kann der User der App rausfinden welche Werte ich an die PHP Seite poste und kann er die URL rausfinden?

Viele Dank

Antworten

Timo D.

Forum-Beiträge: 182

11.03.2013, 17:51:06 via Website

11.03.2013 17:51:06 via Website

Das machst du serverseitig. Überprüfe die Eingabe, gebe einen Zufallsschlüssel mit. Kannst auch mit RSA arbeiten. Auf Clientseite verschlüsseln und Serverseite entschlüsseln. Du musst halt alles im PHP Script prüfen.

Sichern Sie Ihr Smartphone gegen Diebstahl und erhöhen Sie die Chance, es wiederzufinden. Jetzt neu: Guardian - Anti-Diebstahl Guardian - Anti-Diebstahl Pro https://play.google.com/store/apps/details?id=de.tapps.guardian.pro Guardian - Anti-Diebstahl Trial https://play.google.com/store/apps/details?id=de.tapps.guardian.free

Antworten

AlexanderSupertramp

Forum-Beiträge: 4

11.03.2013, 18:14:14 via Website

11.03.2013 18:14:14 via Website

ok. und welches Verschlüsselungsverfahren ist da gut?

Antworten

AlexanderSupertramp

Forum-Beiträge: 4

11.03.2013, 20:44:07 via Website

11.03.2013 20:44:07 via Website

Wenn ich dieses Verschlüsselungsverfahren anwende, wie geh ich dann vor?
www.androidsnippets.com/encrypt-decrypt-between-android-and-php

Davor habe ich immer den Namen und die Punktzahl der Users gepostet.
Jetzt poste ich dann nur den verschlüsselten String, welcher den Namen und Punktzahl enthält. Oder?
Wie kann ich dann sichergehen, dass der entschlüsselte Wert gültig ist?
Und wie verhindere ich, dass der Benutzer einfach 100 Mal einen gültigen Wert postet und damit die Datenbank zuspamt?

Viele Grüße

Antworten

Timo D.

Forum-Beiträge: 182

11.03.2013, 22:07:59 via Website

11.03.2013 22:07:59 via Website

Eine Möglichkeit wäre eine IMEI Nummer zu speichern. Diese kannst du hashen. Ein Salt-Hash wäre gut gegen Rainbow Tables etc. Denn die Nummer soll ja keiner, der evtl. die Datenbank hacken will, erhalten. Und dann prüfst du, ob die IMEI Nummer im gehashten Format dort ist. Wenn ja, führst du mittels PHP ein Update durch. Ansonsten ein INSERT.

So kannst du auch eine Liste mit Nutzern speichern, wo IMEIs verschlüsselt gespeichert sind. Dann kannst du prüfen, ob die IMEI für den Highscore gültig ist. Denn es wird kaum einer tausende Handys kaufen, um deine Datenbank zu zu spamen. War jetzt nur eine spontane Idee ;)

Sichern Sie Ihr Smartphone gegen Diebstahl und erhöhen Sie die Chance, es wiederzufinden. Jetzt neu: Guardian - Anti-Diebstahl Guardian - Anti-Diebstahl Pro https://play.google.com/store/apps/details?id=de.tapps.guardian.pro Guardian - Anti-Diebstahl Trial https://play.google.com/store/apps/details?id=de.tapps.guardian.free

Antworten