Tetris mit Firefox nicht möglich
- Themenstarter nordi
- Beginndatum
Sven Mintel
Mitglied
hauptsächlich an _block(ist eine Variable, die auf document.all verwies) ...und die Verwendung von pixelTop/pixelLeft ...auch das kennt nur der IE
nordi
Erfahrenes Mitglied
Hi, ich hab ein kleines Problem bzw. Sicherheitsleck bei der Eintragung in die Highscoreliste! Also ein Kumpel von mir hat sich einfach die TetrisSeite runtergeladen, dann das Inputfeld, wo der Spielscore erscheint, wieder beschreibbar gemacht und dann einfach ne Zahl eingetragen! Wie kann ich das umgehen? Hatte an Sessions gedacht - hab das aber noch nie gemacht!? Würdet ihr das damit machen oder gibt es andere vllt einfachere Methoden?
Hi Nordi,
das ist in der Tat ein Problem. Und die beste möglichkeit dies umzusetzen...ist...mh...gute frage.
Wie ich wohl erahnen kann, wird der Highscore an ein Textfeld übermittelt (readonly) und dann via php ausgelesen? Wenn ja, gibt es wohl schlecht eine Möglichkeit sich vor Manipulationen zu schützen, da Formularfelder der einzigste (mit bekannte) Weg sind, Werte zwischen JavaScript und PHP auszutauschen.
Was du machen kannst, anstatt ein Readonly-Textfeld zu verwenden ist: Verwende ein Hidden-Feld. Ich denke das du selbst da die Möglichkeit haben wirst, Manipulation vorzunehmen, aber dazu muss man doch etwas tiefer graben.
Gruß X-Color
das ist in der Tat ein Problem. Und die beste möglichkeit dies umzusetzen...ist...mh...gute frage.
Wie ich wohl erahnen kann, wird der Highscore an ein Textfeld übermittelt (readonly) und dann via php ausgelesen? Wenn ja, gibt es wohl schlecht eine Möglichkeit sich vor Manipulationen zu schützen, da Formularfelder der einzigste (mit bekannte) Weg sind, Werte zwischen JavaScript und PHP auszutauschen.
Was du machen kannst, anstatt ein Readonly-Textfeld zu verwenden ist: Verwende ein Hidden-Feld. Ich denke das du selbst da die Möglichkeit haben wirst, Manipulation vorzunehmen, aber dazu muss man doch etwas tiefer graben.
Gruß X-Color
Sven Mintel
Mitglied
Das total sicher zu bekommen, dürfte davon abhängen, wieviel Aufwand es dir Wert wäre, da dort eine gesicherte HTTP-Verbindung nötig wäre.
Die Idee mit dem versteckten Feld bietet leider kaum mehr Schutz, da dein Kumpel dann nur den Typ des Inputs ändern muss, um es zu manipulieren.
Sessions helfen auch nicht viel weiter, da du sie ja aufrechterhalten musst, und wenn dein Kumpel von seiner lokalen Datei kommt, und die Session per Cookie gespeichert wird, diese noch aktiv ist. Bei einer Session-Weitergabe per URL wäre es auch nur ungleich schwerer, da die Session-ID im Dokument stehen muss.
Folgende Sachen würden wohl mehr Wirkung zeigen:
Als erstes könntest du den HTTP_REFERER prüfen, wenn dieser gesetzt ist und nicht identisch ist mit deiner Seite, hättest du ihn ertappt...aber auch das lässt sich manipulieren.
Anstatt den Score über das Formular weiterzugeben, könntest du ihn vor dem Senden in einem Cookie speichern. Dein PHP-Skript liest dann das Cookie aus.
Auch das wäre zwar manipulierbar, aber schon etwas umständlicher.
Die Idee mit dem versteckten Feld bietet leider kaum mehr Schutz, da dein Kumpel dann nur den Typ des Inputs ändern muss, um es zu manipulieren.
Sessions helfen auch nicht viel weiter, da du sie ja aufrechterhalten musst, und wenn dein Kumpel von seiner lokalen Datei kommt, und die Session per Cookie gespeichert wird, diese noch aktiv ist. Bei einer Session-Weitergabe per URL wäre es auch nur ungleich schwerer, da die Session-ID im Dokument stehen muss.
Folgende Sachen würden wohl mehr Wirkung zeigen:
Als erstes könntest du den HTTP_REFERER prüfen, wenn dieser gesetzt ist und nicht identisch ist mit deiner Seite, hättest du ihn ertappt...aber auch das lässt sich manipulieren.
Anstatt den Score über das Formular weiterzugeben, könntest du ihn vor dem Senden in einem Cookie speichern. Dein PHP-Skript liest dann das Cookie aus.
Auch das wäre zwar manipulierbar, aber schon etwas umständlicher.
