Italian Autorizzazione utente

LucaMs

Expert
Licensed User
Longtime User
Avevo dato poco peso a questa questione, pensando soprattutto al fatto che, se un hacker trovasse il modo di utilizzare la mia app benché non autorizzato, avrei comunque incassato dalla pubblicità (sperando che si possa guadagnare con questi benedetti Interstitial, altra domanda che porrò).

Adesso però mi è venuto un piccolissimo dubbio (leggi angoscia totale :D):
se la mia app chiede utente + pw, questi vengono inviati al mio server e verificati; il server se tutto è ok invia un messaggio di autorizzazione. Ad un hacker basta scovare il punto preciso in cui l'app riceve l'autorizzazione e da quel momento potrà usare l'app come se fosse un utente diverso (nel mio caso, lui conoscerà i nomi di altri utenti, dato che è un gioco multiplayer).

Non credo sia diverso usando Facebook, Google Plus o altri metodi di identificazione, ci sarà sempre questo punto critico nell'app.

??? :(
 

picenainformatica

Active Member
Licensed User
Longtime User
Se qualcuno riesce a trovare, in una applicazione offuscata, il punto che dici e poi mettere in piedi un sistema per usare il tuo gioco a gratis, si merita anche uno stipendio.
 

valentino s

Active Member
Licensed User
Longtime User
ho letto che ci sono app che si mettono in mezzo, anche per le transazioni di default. In poche parole tu passi da loro prima di arrivare a destinazione. Parlo in modo grezzo :)

Potresti sempre crittografarle ... ???

v.
 

LucaMs

Expert
Licensed User
Longtime User
Parli in modo... crittografato (almeno per me, oggi mi sento più rinco del solito :D).

Comunque, diciamo che una specie di soluzione l'ho trovata.

Il mio timore è che un hacker tenti di impersonare un diverso utente dell'app (l'app sarà (!) un gioco da tavolo, per cui ogni utente vede i nick degli altri, ovviamente).
Tentando di autenticarsi con il nick di un altro utente, anche ricevendo picche, se scova il punto del programma in cui riceve quel 2 di picche, può aggirare l'ostacolo.

La soluzione è quella di far autenticare ogni utente tramite nome-utente e pw, ma il nick visualizzato dovrà essere un altro.

(spero di essermi spiegato, anche se non mi sembra :p. Insomma, ad ogni utente saranno richiesti: NomeUtente, PW, NickName e solo quest'ultimo sarà visualizzato).
 
Top