[Resolvido] Protegendo arquivos.swf online(Publicada versão de te

Baixei seu SWF com o plugin do realplayer instalado em meu browser.

Não levou nem 2 segundos só botei o mouse em cima ele perguntou se queria baixar e baixo.

Mas de resto esconder a url para n pegar pelo firebug ou pelo font do html é uma boa técnica, meio velinha :P/>

Mas ainda acredito que a melhor maneira é deixar os programadores baixarem... tudo que você precisa fazer é usar um swfEncrypt e ai o cara se tentar decompilar n consegue ;)/>

Abraços

Olá, berseck!

Primeiro, meu obrigado pela sua atenção. Muito interressante então, você ter baixado pelo Real Player... Já que conseguiu baixar, teria como você me mandar o arquivo por email?

Como tinha falado em um outro post aqui no fórum eu testei a ferramenta com vários tipos de plugins, mas não conheço todos. O RealPlayer eu conheço a muito tempo mas confesso que já tem por volta de uns 5/6 anos que não o uso mais(Estou baixando ele neste momento)...

Outra coisa é que, como estou trabalhando com sessão(Nessa versão que publiquei), TALVES você tenha manipulado a mesma para burlar o rastreamento... Mas também pode ser uma questão de má configuração(estarei analisando isso com calma, se for comprovado).

Enfim,logo mais estarei testando com o Real Player e qualquer coisa eu posto aqui.

Obrigado novamente,

Amigão, teria como você me dizer qual é o nome desse plugin que você usou?

É que instalei aqui o Real Player 12.0.0.756 e o único plugin que veio junto foi o tal de RealPlayer Browser Record Plugin 1.1.4.

E eu não sei o que estou fazendo de errado, mas nem no mozila, IE e chrome oferecem-me a opção de baixar... =/

Então tentei pelo próprio Real Player e ele até abriu o arquivo e tal, mas na hora de salvar, ele diz que não é possível salvar o conteúdo...

PS: Já tem quase 3 horas que estou fuçando aqui e nada...

E não me leve a mal não, de eu ter te pedido para você me mandar o arquivo que conseguiu baixar, tudo bem? Você me mandou?

email: desenvolvedorroger@msn.com

Se puder continuar eu agradeço...

Mandei não porque baixei em casa e não no trabalho rs :)/>

E ainda vo fica no trabalho por mais umas boas 3 horas...

Ai posso te mandar de casa isso é se baixo o arquivo correto.

Vou verificar e te informo.

Abraços

Bom aparentemente você mudou alguma coisa :P/>

Agora não faço mais download :)/>

Bom trabalho :)/>

abraços

Moderas, estou revivendo o tópico de quase 3 meses a pedido do usuário.

Ele pediu para usuários testar e depois relatarem.

Roger, na primeira vez, aquela da primeira url passada por você, diferentemente de você eu não segui a suposta dica que você diz que colocou na home da aplicação, gostaria que você me mostra-se essa dica, para eu ver se o que eu fiz é supostamente igual ao que você disse que relatou mais que eu não vi.

Consegui baixar o swf que você disse esta protegido acessando seus swf externos, verificando os GETS e POSTS feito pelo flash, na base disso consegui baixar 2 swf que não são os originais.

O primeiro em seu AS continha o seguinte code.

onClipEvent (load)
{

 getURL("javascript:function js(){var urL=document.location.href; if(urL.toString().indexOf(\'http://www\') == -1){ document.location.href=\'http://www.\'+urL.substring(7,urL.length);}else{document.location.href=urL;}}js();");
}

function funcJS()

 var _loc1 = new LoadVars();
 _loc1.onLoad = function (ok)
 {
 if (ok)
 {
 }
 };
 _loc1.load("[http://www.aplicatiovosparaweb.com/dr/checajs.php"](http://www.aplicatiovosparaweb.com/dr/checajs.php));
}
stop ();
setTimeout(funcJS, 3000);

function verifica()
{

 if (dadosCONTAINER > 2000)
 {
 clearInterval(contaTEMPO_CONTAINER);
 blq_mc.loadMovie("[http://www.aplicativosparaweb.com/dr/as2/scgi.php?chave="](http://www.aplicativosparaweb.com/dr/as2/scgi.php?chave=) + _level0.chave);
 nula_lv.load("[http://www.aplicativosparaweb.com/dr/as2/anular.php"](http://www.aplicativosparaweb.com/dr/as2/anular.php));
 }
}
blq_mc._x = -3000;
blq2_mc._x = -3000;
Stage.scaleMode = "noScale";
Stage.align = "TL";
var dadosCONTAINER = 0;
var contaTEMPO_CONTAINER;
var ouvC_Ob = new Object();
var mcl = new MovieClipLoader();
ouvC_Ob.onLoadInit = function (mc)

 container_mc._x = 0;
 container_mc._y = 0;
};
ouvC_Ob.onLoadProgress = function (mc, bytesLoaded, bytesTotal)

 dadosCONTAINER = bytesLoaded;
};
var nula_lv = new LoadVars();
nula_lv.onLoad = function (ok)

 if (ok)
 {
 trace ("sim");
 }
};
contaTEMPO_CONTAINER = setInterval(verifica, 1000);
mcl.addListener(ouvC_Ob);
mcl.loadClip("[http://www.aplicativosparaweb.com/dr/as2/scgi.php?chave="](http://www.aplicativosparaweb.com/dr/as2/scgi.php?chave=) + _level0.chave, container_mc);
blq2_mc.loadMovie("[http://www.aplicativosparaweb.com/dr/as2/cgi.php?chave="](http://www.aplicativosparaweb.com/dr/as2/cgi.php?chave=) + _level0.chave + "&fr=" + _level0.fr);

etapa02 = "http://www.aplicativosparaweb.com/dr/as2/anular.php"
Set etapa2 = Server.CreateObject("Microsoft.XMLHTTP")
etapa2.Open "GET",etapa02, False
etapa2.Send()
Set etapa2 = Nothing
e depois eu criava um link para a url

http://www.aplicativosparaweb.com/dr/as2/scgi.php?chave=a2b5s2nq2nkzqa3&fr=18
e quando aparecei a link na tela eu ia com o mouse e clicava com o botão direito em cima dele e mandava salvar como... dai salvava o swf.

Supostamente você nesta outra versão modificou a forma de fazer isso e por isso nesse novo eu não consegui penetrar, porém é possível sim, bastaria eu passar algumas horas para fazer isso, porém não to com tempo disponível para isso :)

Nessa sua nova versão o embed fica da seguinte maneira

<embed width="100%" height="100%" src="http://www.aplicativosparaweb.com/dr/cgi.php?chave=dr35ydfssbr" quality="high" pluginspage="http://www.macromedia.com/go/getflashplayer" align="middle" play="true" loop="true" scale="showall" wmode="window" devicefont="false" bgcolor="#111213" name="cgi" menu="true" allowFullScreen="false" salign="" type="application/x-shockwave-flash"></embed>

Este tipo de proteção eu já conheço, inclusive já fiz muito disso com rewrite e ASP, no meu caso não tinha tanto codes pois faço isso direto do ASP sem a necessidade de utilizar AS.

Porém em qualquer forma, basta um "desocupado" perder algum tempo, que certamente se acha um jeito para burlar isso.

Boa sorte com o projeto.

Perfeito patrique!

Roger, na primeira vez, aquela da primeira url passada por você, diferentemente de você eu não segui a suposta dica que você diz que colocou na home da aplicação, gostaria que você me mostra-se essa dica, para eu ver se o que eu fiz é supostamente igual ao que você disse que relatou mais que eu não vi.

Na verdade a brecha era TÂO GRANDE que bastava você duplicar o <embed> numa página.html qualquer que você iria conseguir baixar o arquivo pelo cache do pc. Mas já corrigi isso! A PROVA disso é que o swf principal você não conseguiu baixar. O meu vacilo foi eu ter escrito outro código etc, etc.

Este tipo de proteção eu já conheço...

Nesse caso eu não concordo muito não... Parecido não é igual. O esquema é um tanto diferente do que você imagina ser.

Porém em qualquer forma, basta um "desocupado" perder algum tempo, que certamente se acha um jeito para burlar isso.

Olha, numa boa, o negócio não é tão bangunçado assim não! :)

PS: Vale lembrar também que essa é uma versão ADAPTADA. A versão que eu tenho aqui para o meu uso é muuuuuito superior a essa aí que publiquei, porém, esta não tenho como publicar da forma como publiquei.

De qualquer forma eu agradeço seu feedback! E se quiser tentar, novamente, fique à vontade!

Roger, eu trabalho com esse tipo de coisa faz muito tempo, já fiz coisas aqui que até Deus duvida, rsrsrs em relação a scripts doido eu sou campeão, so programa coisas doidas e em relação a isso eu tenho respeito por ti, pois admiro isso em você pois se assemelha com que faço.

Não to dizendo que seu trabalho é ruin, apenas digo que com algumas horas perdidas, certamente depois de muitos testes uma forma de burlar isso certamente ira acontecer, nada é 100%.

Fiz aqui um exemplo simples do que eu te disse, nele eu utilizo apenas ASP e rewrite (no caso para deixar a url com extensão swf)

Te desafio a baixar o meu, que eu fiz aqui em 20 minutos, dentro do arquivo swf contém uma senha, baixa ai e me manda para eu ver se você é fera mesmo rsrsrsrs

http://adresende.com.br/protetor/

ta ai, vamos ver, boa sorte.

>
Te desafio a baixar o meu, que eu fiz aqui em 20 minutos, dentro do arquivo swf contém uma senha, baixa ai e me manda para eu ver se você é fera mesmo rsrsrsrs

http://adresende.com.br/protetor/

ta ai, vamos ver, boa sorte.

a.htmlText="patriquegostosao123"; :P

kkkkk boa, agora a duvida... kkk como?

Fiz uns testes aqui no meu e descobri como rsrsrsr, talvez o uso de um arquivo swf que carregue o swf tenha papel fundamental, já que uma vez carregado, pode se baixar pelo navegador diretamente no salvar como... salvando a página e swf que foi carregado.

Ai é mole rsrsrsrsrsrs vou fazer uns ajustes aqui.

No seu caso você conseguiu ocultar que esse arquivo seja salvo, porque esta utilizando o javascript AC_FL_RunContent, dai na hora que eu mando salvar o navegador não identifica este swf pois ele não esta sendo passado pelo embed no html mais sim o embed esta passando por javascript, o problema no seu caso é que não da para jogar a proteção para domínios secundários, tentei aqui colocar o mesmo code no meu dominio e aqui localhost... com os mesmos javascript e code html, mas não foi lido, pois certamente esta restrito ao seu domínio.

E aí Patrique, Tudo bem? Traz novidades pra gente?! :)

No seu caso você conseguiu ocultar que esse arquivo seja salvo, porque esta utilizando o javascript AC_FL_RunContent, dai na hora que eu mando salvar o navegador não identifica este swf...

Não, o javascript é apenas uma recomendação para detecção do Flash no browser, como você deve saber. E, como tinha te falado, o esquema que desenvolvi é outro, totalmente diferente do que você falou...

o problema no seu caso é que não da para jogar a proteção para domínios secundários...

Dá sim. Só que o seu servidor precisa estar disponível para web(configurado com um dominio válido)...

E mais uma vez, obrigado por colaborar com o seu feedback! :)

Sim, eu vi o javascript que verifica se tem www http, porém não havia testado em servidor válido.

No seu segredo é apagar o cache rsrsrsrs no meu caso só falta isso, porém ainda não mexi, o problema é que quando acesso o browser guarda o cache e se tento salvar como pelo navegador ele salva esse arquivo.

Se eu deixo aberto na tela e mando apagar o cache do navegador e em seguida tento dar salvar como ele salva o arquivo proibido e não o original.

No seu caso é diferente, o sistema executa e não salva o swf no cache, dai certamente o segredo.

O seu está muito bem feito, comprovei isso ontem, parabéns, muito bom.

Eu só tenho a te agradecer, porque se você não tivesse testado por mim, certamente eu não iria descobrir o erro tão cedo. Mas de certa forma eu já tinha a suspeita de que, da forma como fiz(nesse exemplo que você baixou), poderia falhar sim. Mas fiquei na dúvida e resolvi por no "ar" assim mesmo. Que bom que você me deu um retorno antes que mais alguém vinhesse a descobrir essa brecha. Apesar de isso não afetar a página principal, isso poderia afetar arquivos cadastros pelos usuários.

Obrigado mesmo e tudo de bom pra você! :)

Beleza sem problemas, descobri aqui como baixar o swf que da o atualizar na página com javascript:document.location.href=document.location.href; e manda para o checarjs no load, baixar o outro é só questão de tempo rsrsrsrs, prepare-se uhauhauhauha

OK, Patrique!

É possível baixar sim, mas é APENAS um refresh, checando o javascript na página do usuário... :)

hum, vamos ver, continuarei testando! pois antes nem esse tava dando.

valew.

hum, vamos ver, continuarei testando! pois antes nem esse tava dando.

Mesmo que isso NÂO apresentava risco para o sistema, resolvi eliminar essa possibilidade também. Dá uma conferida lá! :)

To conseguindo ainda baixar o primeiro arquivo :)

Patrique eu também fiz uma simulação aqui e consegui baixar o arquivo. Mas é como tinha falado antes, isso NÂO oferece NENHUM risco para o sistema em si. Eu vou deixar assim porque eu preciso checar o javascript no cliente. Isso faz do monitoramento e eu preciso dessa informação! :)

No mais, eu não sei nem como te agradecer pela participação... Obrigado mesmo!

abraço,

Sem problemas Roger ;)

Descrobri que seu sistema utiliza cookier de session, talvez se eu consegui criar um com o firebug, eu consiga pegar o file :)

Continuarei a fazer testes aqui :)

Valew

Patrique revi o código aqui, fiz uns testes e parece que ficou resolvido... De qualquer forma, é como tinha te falado antes :)

Descrobri que seu sistema utiliza cookier de session, talvez se eu consegui criar um com o firebug, eu consiga pegar o file

Não, não é por aí não... A chance de você conseguir baixar Patrique é de 0%, mas, se quiser tentar, eu só tenho a te agradecer :)

Obrigado novamente!

Olha rapaz...

Não fale que é 0%.... não... pois existem metodos de baixar um site completo com PHP ou linux da web... sem ter permissão para tal...

Então 0% não é

É como o patrique disse... um programador desocupado consegue descobrir como que faz.

Agora usuários normais não vão conseguir pegar seu SWF... nem o que estão aprendendo

Abraços

Não fale que é 0%.... não...

Olá, berseck! Eu me referi ao método o qual ele estava tentando.

E como falei, torno a repetir: Nesses casos, através de navegadores ou plugins, a chance é de 0% sim! :)

Agora usuários normais não vão conseguir pegar seu SWF... nem o que estão aprendendo

Eu incluiria aí, sem medo, usuários avançados também. :)

Na primeira vez em que o Patrique conseguiu baixar, o código era OUTRO, diferente do que está na home da aplicação. Mas como pode ver, eu já arrumei isso e fiz outros ajustes no código!

Obrigado pelo seu feedback.

Nota: Se mais alguém quiser tentar baixar o arquivo.swf e contribuir com seu feedback eu sou grato desde já!

Segue a url do blindado :)

http://www.aplicativosparaweb.com/rogerio/protegeSWF.html

abs,

Uma idéia que eu tive aqui é....

Deixar o site carregar em determinado momento antes que carregue por inteiro eu corto a conexão com a internet rsrsrs desta forma trava, era assim que nesta segunda versão eu estava baixando o primeiro arquivo, porém isso tinha que ser feito no tempo certo e ainda acho que algo do tipo pode conseguir penetrar e pegar esse file.

Concordo com o bersek, 100% protegido não é, porém o seu esta muito f*** mesmo, tenho que concordar que esta bem seguro sim, porém discordo que não é quebravel.

Existe uma ferramente que é usada para trapacear games em flash na internet direto pelo navegador, nesse caso a galera identifica o game pelo programa que estara executando e pegando arquivos que estiverem em uso na memória e assim modificando as pontuações para burlas os games, talvez com o uso deste programa usuários podem usar meios para tentar baixar este file.

O programo que me refiro é esse

[]'s

>
Uma idéia que eu tive aqui é....

Deixar o site carregar em determinado momento antes que carregue por inteiro eu corto a conexão com a internet rsrsrs desta forma trava, era assim que nesta segunda versão eu estava baixando o primeiro arquivo...

É, se ele não carregar por completo, ele não vai funcionar...

Concordo com o bersek, 100% protegido não é...

Torno a repetir: Da forma tradicional a chance é de 0%, mas, se quiserem continuar tentando assim, boa sorte! Só não vão conseguir(estejam avisados). :)

...porém discordo que não é quebravel.

Se formos seguir essa linha de raciocínio, vamos concordar que o Amayeta e os demais software obfuscadores de arquivos .swf são menos útil. Visto que, não são "inquebráveis", como alguns pensam... E por que menos útil? Porque os obfuscadores, além de aumentar o tamanho do ficheiro em Kbs, se a empresa lançar uma atualização do software ou se você fizer alguma alteração do .swf, você teria que recopilar o .swf etc. No meu caso a atualização funciona em tempo real para todos os domínios cadastrados sem interferir em absolutamente nada.

...talvez com o uso deste programa usuários podem usar meios para tentar baixar este file.

Pelo que andei lendo ele não funciona com jogos online não... Mas dei uma analizada na forma como ele manipula os arquivos e, pelo que vi, não seria o caso não... ;)

PS: É muito fácil criar um game em que em programa aí não consiga burlar. É só refletir bem na forma como ele burla as pontuações... :)

abs,

Rapaz tudo que o você ta fazendo é ocultando com um rewrite ou algo parecido que da no mesmo ao meu ver...

Mas de resto é tranquilo... você usa um metodo que eu usava para esconder imagens JPG, PNG etc para que o google não indexa-se ou outros buscadores...

Então quando você tentava abrir uma foto vinha um caminho referente assim:

foto1827380192eu912ue0981u2e81h92eh08qwhd0q8dh10dn

Que isso significava foto para o servidor...

Se você tenta-se copiar essa url e colar no navegador você não acessaria a imagem... mas ela vai ta lá

;)

Mas gosto da ideia hehe

Abraços