我正在进行在线竞赛。我们使用本机应用程序使用SSL与服务器通信。我们通过第三方服务生成usertokens,需要在请求的标头中提供。
因此,当用户使用SSL和令牌从他/她的手机向服务器发送新的本地游戏结果时,我们如何确保这一点?我们需要更多的东西来确保黑客无法向服务器发送多个点请求。
答案 0 :(得分:0)
我们可以为交易生成特殊令牌吗?
你可以,但攻击者也可以。
只要客户端通过SSL发送请求,是否可以隐藏黑客信息?
没有。通常,问题的解决方案是将敏感代码和数据放在您控制的服务器上,而不是攻击者控制的计算机上。这意味着玩家必须远程玩,以保持代码和数据不受攻击者的控制。
因此,当用户使用SSL和令牌从他/她的手机向服务器发送新的本地游戏结果时,我们如何确保这一点?
嗯,多样化可能会有所帮助。也就是说,不是在服务器接收{令牌,点请求}时提供积分,而是让服务器监视播放器以确保存在正在进行预期进展的交互式播放器。也就是说,将简单的boolean事件{Token,Point Request}转换为决策汇总。