수다닷컴

제가 플래시 5.0이 나오면서 숨겨진기능중 다른swf파일을 자기와 바꿔쳐서 마치 자기인양 돌려주는 액션을 써서 디버그를 하던기억이 납니다. 이렇게 디버그하다보니 당시에 유행하던 플래시게시판 사이트의 swf들을 모두 불러와서 디버그를 돌렸더니 그안의 변수들이 적나라하게 들어나더군요.

문제는 이 변수가 조작이 가능합니다.

변수에 admin이 있는것이 보이고 아예 패스워드까지 보이더군요.

아마 패스워드와 대조해보고 맞으면 글을쓸수있게 해놓것 같았습니다.

지금에야 말이지만 당시에는 장난을 좀쳤었습니다.

그걸루 admin 이렇게 사람이름하고 내용은 해킹당했습니다. 뭐이런장난이었죠.

당시에 상업용으로 내놓으려고 하셨던분들은 좀 당황했을지도 모릅니다.
한동안 질문을 많이 하고해서 알아봤지만 알아낼수가 없었습니다.

그냥 서버로 값을 넘기고 패스워드는 플래시에서 처리하지않고 서버에서 받아서한다. 이것이 대안이었는데

결국 최종단계에서 플래시에변수가 생성되는것은 막을수가 없더군요.

어느사람은 운영자인지 아닌지검사하는 루틴을 두라는데 그래봤자 결국 변수를 기준으로 검사할것 아닌가요
그리고 플래시가 페이지에서 사라졌다 다시 나타나거나 리프레쉬되었을때 다시 로그인해야되는데

php나 asp같은 스크립트 언어들은 4.0이 들어오면서 이문제때문에 결국 세션을 도입하게되었습니다.

플래시가 만일 어플리케이션의 영역을 구축하려면 인터랙티브 무비뿐아니라 이러한 세션을 지원해야된다고생각합니다.
현재버젼으로 세션구현을 할수있는방법은 플래시의 쿠키입니다.

그리고 그 쿠키를 md5로 암호화해야합니다.

1. swf를 보는사람은 패스워드와 암호를 넣게되면 암호가 md5화되어 쿠키에 저장되고 동시에 서버로 전송됩니다.

2. 서버에서는 들어온 md5 데이터와 저장되어어있는 md5가 맞으면 해당 유저로 인정하고 데이터를 보내줍니다.

3. 이 데이터를 다시 돌려받은 swf는 해당 데이터를 사용합니다.

4. 만일 장면이 바뀌거나 했을경우 서버로 md5데이터를 다시전송합니다. 이때는 passwd같은 변수에서 보내는것이 아닌 쿠키에 저장되어있는 md5를직접 전송합니다.

5. 이럴경우 시간이 어느정도지났을경우 쿠키는 자동파기되므로 암호는 알수없습니다.
장점과 단점이있습니다.

장점: 쿠키를 사용하므로 쿠키 파괴시간내에서는 플래시를 닫고 다시열어도 로그인상태로 인정된다.

단점: md5암호화 알고리즘이 너무 용량이 커서 플래시에 임베드시킬경우 로딩시간이 필요하다.
md5는 매크로매디아에서 현재 제공하고있습니다만

이것은 너무 무겁더군요.

더 가벼운 다른 알고리즘이 필요한데

혹시 이것에 대해 생각해본적이 있으신분이 계신가요

신청하기