Posted on 2008-07-16 18:08
RichardHe 閱讀(1667)
評論(29) 編輯 收藏 引用
說下最近在忙的事吧.最近公司游戲和一個社區(qū)合作.我負(fù)責(zé)和這個社區(qū)平臺的客戶端和服務(wù)器的設(shè)計
這個社區(qū)老是把一些簡單問題復(fù)雜化來做.本杰我們的和其它平臺的都已經(jīng)做好了的,但是它們現(xiàn)在想在我的
的客戶端加加一個內(nèi)嵌瀏覽器.說是怕它們的帳號和密碼被盜,難道放在WEB中輸入就不會了嗎?不都是在客戶端
輸入嗎?有什么本質(zhì)的區(qū)別嗎?
現(xiàn)在的流程是這樣的,通過客戶端內(nèi)嵌瀏覽器輸入的用戶名和密碼到它們的服務(wù)器驗證,然后把結(jié)果返回到我們
游戲帳號服務(wù)器,再通過帳號服務(wù)器通知我們的客戶端,從而再進(jìn)行登錄以后的事情.
以前我們和XX網(wǎng)的流程,先在客戶端輸入用戶名和密碼,通過SOCKET到他們的服務(wù)器進(jìn)行驗證,通過以后再登錄到我
們的游戲服務(wù)器,如果這個用戶名在我們的帳號服務(wù)器中的話那么進(jìn)行驗證登錄,如果不在,則在帳號服務(wù)器寫入一條
這個帳號的記錄,包括用戶名,是否成年等等.
PS:以上的密碼都是經(jīng)過MD5和一個密鑰加密的,都是不可逆的,有那么容易破解嗎?
Feedback
如果覺得自己是對的 一定要用論證說明 有些人是不懂技術(shù)的 只是想當(dāng)然 還是要溝通好 。
我談下自己的想法,是不是那家公司覺得對于web訪問提供數(shù)字簽名,加密處理等更加方便(例如客戶端安裝控件,服務(wù)端也做對應(yīng)配置),可能考慮部署更加方便,現(xiàn)成的資源也比較多.
他們的server端是java之類的東西寫的吧。
他們不會或者懶得寫socket,想直接用servelet而已
@huoxd
應(yīng)該是這樣的!因為他們公司沒有用過C++開發(fā),絕大多數(shù)都是WEB的方式,一直在想辦法通過WEB來驗證等等!
@cppexplore
我也不知道他們服務(wù)器是什么寫的,應(yīng)該是JAVA,因為他們的WEB也是JSP的
人家是怕帳號密碼在你的客戶端輸入的階段就被HOOK走了,而不是害怕你的數(shù)據(jù)包被破解了。在瀏覽器輸入帳號密碼絕對比在你客戶端輸入要安全得多的。他們的要求其實也是合理的。因為瀏覽器是相對安全很多的。但是如果因為這個問題涉及到要修改你系統(tǒng)原先的架構(gòu)那么就不劃算了,如果只是登錄流程變一下,嵌入個瀏覽器,那還是不過分的。
@txw
謝謝你的指點.如果現(xiàn)在嵌入個瀏覽器所增加的工作量相對以前來說是相當(dāng)大的,我這邊的系統(tǒng)和數(shù)據(jù)庫也要專門重新構(gòu)架了.因為那樣的話,我還要專門處理它們的服務(wù)器返回到我們的游戲服務(wù)器,再從我們的游戲服務(wù)到游戲客戶端,這之間有一個映射關(guān)系比較難處理。
是的,如果問題涉及到架構(gòu),那或許需要重新溝通。但是如果帳號密碼安全至關(guān)重要,或許他們的方案更有保障。瀏覽器可以保證輸入的時候被HOOK的可能性大大減少,同時數(shù)據(jù)包WEB都是SSL加密的,要破解的可能性也是微乎其微的。還有client是有可能被逆向工程的。
@txw
謝謝了..經(jīng)過你這么一說真是明白了許多..
因為自己沒做過WEB開發(fā)過,所以其中的許多東西還是不太了解的!
根本原因還是因為那邊沒有socket,想直接用servlet吧。這樣他們那邊的改動很小,不需要涉入他們不熟悉的領(lǐng)域。被hook,指鍵盤輸入嗎,web下一樣可以。單純的得出結(jié)論:web輸入比client端輸入更安全,這個論調(diào)還需要詳細(xì)的論證吧,用客戶端的東東多了去了,也都沒用客戶端嵌入web的方式輸密碼。
https可以用ssl加密隧道,socket一樣可以。
這個問題就是要么你們改,他們不改,要么他們不改,你們用web輸入。
衡量2個方案的改動量,還是你們改比較簡單。
小小的問一下: 直接在客戶端發(fā)送http請求 可以不呢?
我也認(rèn)為 他們只是懶得改 罷了。
不過反過來說,你現(xiàn)在的情緒是否也有點這樣的成分在里面呢?
不如趁這個機會練下手。等做出來之后,你就多份經(jīng)驗了,WEB的,Socket的你都弄過,那么下次再有類似需求的時候,你就可以權(quán)衡哪種更好了。
@ 代李
可以
這對博主來說是個好方案,還是用socket發(fā)送,可以建立tcp短連接,發(fā)送的數(shù)據(jù)采用http協(xié)議格式的,這樣就兩邊皆大歡喜了吧。
@kun
現(xiàn)在是25號正式上線,21號上內(nèi)測,沒時間啊?時間上來不急.
@cppexplore
用socket發(fā)送,可以建立tcp短連接,發(fā)送的數(shù)據(jù)采用http協(xié)議格式
可以這樣嗎?小弟我也是第一次用網(wǎng)絡(luò)這東西.所以許多東西還是不太懂.
是否可以指點下呢?
@RichardHe
web也是用的socket。http的通訊方式如下:
建立連接(connect)
發(fā)送請求(send)
接收響應(yīng)(recv)
斷開連接(close)
每次請求響應(yīng) 都要建立連接,斷開連接,就是tcp短連接,也是http使用的方式。
http的格式可以看rfc,或者抓包看看就知道
一般是(post方式才需要body的):
post/get/header url http/1.1\r\n
header: value\r\n
Content-Length: ..\r\n
Content-Type: ..\r\n
\r\n
body
內(nèi)嵌web可以說是個很快速的方案,只要你能拿到web上返回的數(shù)據(jù),又何必自己寫socket發(fā)數(shù)據(jù)呢。或者可以一邊用內(nèi)嵌web寫原型系統(tǒng),一邊寫socket方式的。
@cppexplore
現(xiàn)在問題是很難從我的客戶端得到WEB上返回的數(shù)據(jù),要是能得到的話就什么都簡單了.
可以看看libevent對http的封裝,類似的庫也不少。
@RichardHe
我猜也是你拿到返回的數(shù)據(jù)很困難,呵呵。
用socket吧 不需要用apache ace libevent那么復(fù)雜的封裝庫。寫個最基本最簡單的阻塞式socket,連接 發(fā)送 ,等響應(yīng),之后關(guān)閉就是了。發(fā)送就是發(fā)送這個好了:
POST /url HTTP/1.1\r\n
Content-Length: 24\r\n
Content-Type: application/txt\r\n
\r\n
username=jim&pass=mypass
詳細(xì)的信息可以問那邊要,他們一定有示例的頁面,用頁面發(fā)個請求,抓包就知道了。
@CppExplore
謝謝指點......但還是不知道怎么抓包?
用SOCKET抓嗎?也不知道它們返回的是什么樣的消息格式?
它們是有一個專門的登錄頁面的.
POST /url HTTP/1.1\r\n
Content-Length: 24\r\n
Content-Type: application/txt\r\n
\r\n
username=jim&pass=mypass
這個是指什么??我這邊所要發(fā)的嗎?這個是WEB里面要發(fā)的吧?
Web登陸和客戶端登陸在安全性上沒有太大差異. 能破解的都能破解. 建議直接提交Web接口數(shù)據(jù),得到返回結(jié)果
@Jezz
我的客戶端很難得到返回的結(jié)果!
直接使用socket發(fā)送 http協(xié)議 返回的東西跟網(wǎng)頁一樣 只是會有http頭
1·可以通過http頭來判斷是否連接發(fā)送成功
1·可以通過內(nèi)容來判斷是否驗證成功,比如檢索內(nèi)容里面是否有成功字樣,,等。
@代李
有例子參考下嗎???因為沒用過SOCKET發(fā)送HTTP這樣的
所以不知道怎么做?也不知道怎么用客戶端接收HTTP返回的東東!
謝謝關(guān)注!
@dodo
呵呵..我覺得應(yīng)該都差不多的...但是就是有些人覺得瀏覽器比客戶端更安全