1

我正在寻找一种体面的方法来确保客户发送的高分实际上是真实的(用于全球高分板),以防止用户发送虚假分数。

该方法不需要超级安全,但某种程度的安全性会很好。

我在想这样的事情:

www.website.com/submitbest.php?player=bob&score=500&digest=xxxxxxxxxxxxx

我将玩家姓名和得分以及整个字符串的加盐哈希发送到哪里。然后,我可以在服务器上检查哈希值是否应该是这样。

这足够体面吗?有没有我忽略的更简单的方法?

4

1 回答 1

2

这足够体面吗?有没有我忽略的更简单的方法?

由您决定它是否足够“体面”。就安全性而言,任何人都可以轻松生成所需的散列并将散列后的高分发送到服务器。所以真正的工作是发现所使用的算法+挑战,这可能会嵌入到代码中,因此是可发现的。

问题的要点是您正在服务器上检查用户是否知道散列算法,没有办法实际检查消息是否真实。

于 2012-12-28T21:44:28.070 回答