我想使用Flash AS3共享对象("Flash cookie")在中存储密码。默认情况下它是安全的,还是我需要一种技术来加密它?
我找不到任何人的信息。可以查找Flash设置的共享对象以及里面的内容。欢迎提供任何信息。Uli
一般规则是,除非使用某种形式的共享加密(例如HTTPS),否则存储在客户端上的任何内容都可以从客户端中提取。对于Flash,这是双重正确的——Flash反编译非常简单,SharedObjects可以在离线时工作,这意味着如果你可以伪造来源网站,你就可以读取对象。这大约需要30分钟,但我怀疑我可以将机器上的每个共享对象呈现为人类可读的JSON。
如果您必须在客户端上存储密码或用户名,则将其存储为某种形式的单向加密,如SHA或(如果您处于绑定状态)MD5。as3crypto库在这里。但是,请记住,客户端用户仍然可以获取该值并将其复制到另一台机器上。
有几个旁白:SharedObjects在AS3中并不新鲜。我记得在遗留的AS2库中使用过它们。第二:使用SharedObjects几乎没有什么好处,我发现IE和世界其他地方的共享对象不一致。当然,使用Flash投影仪,它们是您唯一的选择。Cookie的另一个好处是,Cookie更容易安全,因为它们可以通过双向加密在服务器端进行验证。绝对是奖金。
不要在客户端保存密码!尽管它也不安全,但您可以使用校验和:如何在Actionscript 3中计算CRC校验和?
Flash cookie是本地共享对象,它们被保存为二进制.sol文件。