Spiel in Java - prinzipiell nicht cheatsicher?
-
Wie ich es vorhergesehen habe, wird schon wieder fleissig versucht, das Teil zu hacken...
Bye, TGGC
-
TGGC schrieb:
Wie ich es vorhergesehen habe, wird schon wieder fleissig versucht, das Teil zu hacken...
Sgt. Nukem schrieb:
Erfolgreich?!?
-
Kleiner Feature-Request: Ist es moeglich, dass man in der Highscore-Liste sieht,
a) mit wieviel Restgeschwindigkeit der entsprechende gelandet ist
b) wieviel Treibstoff er noch hatte?
-
SG1 schrieb:
Kleiner Feature-Request: Ist es moeglich, dass man in der Highscore-Liste sieht,
a) mit wieviel Restgeschwindigkeit der entsprechende gelandet ist
b) wieviel Treibstoff er noch hatte?Wie sieht das überhaupt aus, wie werden die Punkte berechnet?!
Am Meisten kommt es auf den Schaden an, klar.
Wird die Sprit-Reserve mit einbezogen?
Wird die Zeit mit einkalkuliert?
-
Sprit ~ Zeit IMO
Physikalisch ist es die ideale Landung, sich so weit es geht, ohne Schub fallen zu lassen und genau im richtigen Moment vollen Schub zu geben um dann genau mit v = 0 aufzusetzen.
Wir haben so einen Lander-Piloten im Programmieren Praktikum schreiben müssen.
-
@SG1: Nein, ist nicht möglich. Diese Daten werden nicht gespeichert.
@Optimizer: Du hast recht, nur kann man in diesem Spiel nicht schlagartig den Schub von 0% auf 100% erhöhen.
Bye, TGGC (Der Held ist zurück)
-
One mechanism that hackers use to subvert systems is to create a subclass of a class and then substitute their class for the original. The subclass looks and feels like the original class but does vastly different things, possibly causing damage or getting into private information. To prevent this kind of subversion, you can declare your class to be final and thereby prevent any subclasses from being created. The String class in the java.lang package is a final class for just this reason. This class is so vital to the operation of the compiler and the interpreter that the Java system must guarantee that whenever a method or object uses a String it gets exactly a java.lang.String and not some other string. This ensures that all strings have no strange, inconsistent, undesirable, or unpredictable properties.
http://java.sun.com/docs/books/tutorial/java/javaOO/final.html
-
Das hilft einem aber nicht, selbst neue, sichere Klassen zu schreiben. Dort wird dann eben decompiled und das final Schlüsselwort entfernt, wenn man einen Angriff dieser Art fahren wollte. Und auf dem eigenen Rechner kann man trotzdem das Verhalten von string ändern, indem man die "Systembibliothek" an sich hackt. Also was genau soll das bringen?
Bye, TGGC (Der Held ist zurück)
-
Wahrscheinlich nichts. Dass das final Hacker abhalten soll kommt mir auch komisch vor. Ich bin da rübergestolpert, als ich versucht hab, rauszufinden, ob man Objekte final übergeben kann. ;((
-
Na ok, trotzdem danke.
Bye, TGGC (Der Held ist zurück)
-
tach,
hab jetzt nicht alle beiträge gelesen, aber dein problem ist doch zusammengefasst folgendes:
dein spiel (in java geschrieben) kann man downloaden. es gibt eine online highscoreliste (auf irgendeinem server). hast du die highscore geknackt kannst du dich bei dem server einwählen und dein heldentum zur schau stellen. so weit richtig verstanden?
wenn ja, sehe ich jetzt nicht so das problem: du musst doch "nur" eine gesicherte verbindung zwischen denen beiden aufbauen. bin jetzt in java und verschlüsselungen etc. nicht so firm, aber irgend ne ssl-sache wirds da schon geben.
Ja und dass ein Verschlüsselungsalgorithmus von jedermann lesbar ist, dass ist doch standard. jeder gute algorithmus ist allen zugänglich; darin liegt doch genau die stärke.
-
Es geht nicht darum, das der Algorithmus bekannt ist, sondern um den Schlüssel! Wenn das Java Programm sich bei dem php Script authentifiziert (quasi: Hallo, ich bin das Original Java Programm und nicht gecheatet), dann muss es seine Nachricht mit einem geheimen(!) Schlüssel verschlüsseln. Aber wie soll dieser Schlüssel denn geheim bleiben, wenn sich jeder das Programm runterladen und decompilen kann?
Es ist also gar keine Frage der Verbindung oder des Algorithmus. Wenn man das Programm hackt, dann würde man diese Sachen ja garnicht antesten, sondern einfach die Daten bevor sie verschlüsellt werden. Den richtigen Veschlüsselungsalgo _und_ Schlüssel benutzt man dann einfach aus dem Original.
Bye, TGGC (Der Held ist zurück)
-
gut, verstanden.
du musst irgendwie code von deinem server ziehen, den keiner kennt. aber durch reflection u.ä. ist es wohl auch schwierig, da sich ja wiederum auch jeder in dem nachgeladenen code stöbern kann.....naja mir fällt gerade nix ein....aber für alles gibt es eine lösung!
-
das wäre event. eine lösung:
in der seite wo das java progamm eingebunden ist ein kleines php script einbauen, dass dir in die datenbank etc. einen unique code schreibt. diesen gibts du dann an deine java anwendung weiter. bevor du den highscore schreibst, prüfst du ob der code in der java anwendung mit den der datenbank übereinstimmt.
-
red2k schrieb:
diesen gibts du dann an deine java anwendung weiter.
Und damit in die Haende des potentiellen Angreifers. Was soll das also bringen?
-
SG1 schrieb:
red2k schrieb:
diesen gibts du dann an deine java anwendung weiter.
Und damit in die Haende des potentiellen Angreifers. Was soll das also bringen?
wie soll er an den code rankommen wenn er nur die java anwendung decompilen kann und nicht das php script??
-
Du gibst den "unique code" an die (unsichere) Java-Anwendung weiter.
-
ja und? wenn man es z.B. über parameter macht steht im code ja nur:
mycode = GetParameter(0);
und nicht der code.
-
Und was hindert den Angreifer, ebenfalls GetParameter(0) zu machen? Oder das fertige Programm nehmen, und sich mycode (nachdem dieser ausgelesen wurde) ausgeben zu lassen?
-
Vollkommen egal, was im Code steht. Der Angreifer übernimmt den einfach in sein gehacktes Programm, und dieses bekommt dann genau wie das normale Programm den Key von wo auch immer man ihn herholt. Der Angreifer brauch den Schlüssel garnicht wissen, sondern einfach nur seine gecheatete Punktzahl mit dem Originalprogramm verschlüssen. Im einfachsten Fall geht er also an die passenden Stelle, fügt dort "punkte= 999999;" und kompiliert das Programm neu.
Bye, TGGC (Der Held ist zurück)