.NET Weryfikacja klienta

Witam.

Mam dość nietypowy problem, piszę w .NET stronę inernetową z usuługą WebAPI oraz klienta na androida do niej.
I mam problem, przy logowaniu się w aplikacji (zapytanie przez WebAPI), strona www musi mieć pewność, że aplikacja nie została zmodyfikowana.
Myślałem nawet o podpisaniu cyfrowym aplikacji, ale nic by nie dało wysłanie na server podpisanej sumy kontrolnej, ponieważ gdyby ktoś chciał ją zmodyfikować to wcześniej przechwycił by przekaz tej sumy i kazał by zmodyfikowanej aplikacji wysłać nie prawdziwą sumę, ale tą przechwyconą.

Więc, czy macie pomysł, jak sprawdzić, czy aplikacja kliencka nie została zmodyfikowana?

nie da się

Musi się dać :).

Ma ktoś pomysł?

Może posól ten hash datą i jakąś stałą wartością? Na przykład

"salt" + DateTime.Today

Co dziennie będzie inny hash i by to przynajmniej trochę utrudniło potencjalne ataki.

Nie da się i tyle. Można by myśleć nad czymś jeżeli każdemu użytkownikowi mógłbyś wysłać jakieś fizyczne urządzenie (ale...).

gdyby się dało to by nie powstawały cheaty do wszystkich gier
jeżeli na przykład wysyłasz wynik gry to po stronie serwera powinieneś sprawdzić czy jest to fizycznie możliwe uzyskać taki wynik (przykładowo w jakiejś grze z autkiem v max pojazdu to 60 km/h a gracz zalogował się 10 minut temu więc mógł przejechać max 10 km - jeżeli przejechał więcej to wyzwij go od cheatera i tyle). Możesz też logować wszystkie ruchy gracza, wysłać je do serwera, zasymulować w przyspieszonym tempie grę i zobaczyć czy wynik się zgadza - takie zabezpieczenie jest nie od ominięcia a zafałszowanie wyników wymaga skomplikowanych obliczeń i może zająć nawet miesiące (zależy od gry oczywiście)

Ja tutaj nie myślę o grze, tylko bardziej mi chodzi o coś takiego: server przesyła plik do użytkownika, ale chcę zrobić, aby dało się go odczytać tylko w tej aplikacji. Myślałem o szyfrowaniu i to by rozwiązało sprawe (server przesyła też klucz), ale co jeśli ktoś zmodyfikuje aplikacje, np. tak, aby po zdeszyfrowaniu zapisała mu ten plik w formie zdeszyfrowanej w jakimś miejscu.

I dlatego przy logowaniu chcę zweryfikować oryginalość klienta. Chyba, że istnieje inny sposób na zrobienie tego, albo choćby na utrudnienie zrobienia przeróbki aplikacji.

Napisałeś: "I dlatego przy logowaniu chcę zweryfikować oryginalość klienta. "
Jak uda Ci się to zrobić skutecznie to wyślij maila choćby do Adobe... zapłacą Ci ile tylko będziesz chciał :P

jedną z Idei utworzenia WebApi była możliwość korzystania z API poprzez różnych klientów.

Dla twoich celów najlepiej będzie się skupić na procesie uwierzytelniania i autoryzacji.

ne0 napisał(a):

Napisałeś: "I dlatego przy logowaniu chcę zweryfikować oryginalość klienta. "
Jak uda Ci się to zrobić skutecznie to wyślij maila choćby do Adobe... zapłacą Ci ile tylko będziesz chciał :P

Napisze :D.

teo215 napisał(a):

jedną z Idei utworzenia WebApi była możliwość korzystania z API poprzez różnych klientów.

Dla twoich celów najlepiej będzie się skupić na procesie uwierzytelniania i autoryzacji.

Większość rzeczy, będzie otwarta, ale niektóre funkcje muszą wymagać oryginalności :(.

Dziękuje wszystkim za pomoc.