Flash Remoting, anyone?

Galera, quem já mexeu com Flash Remoting? Algum comentário sobre o assunto?

(Flash Remoting: www.macromedia.com/software/flashremoting/)

Uhhh... respondendo ao meu próprio tópico, aí vao mais alguns links:

http://www.onjava.com/pub/a/onjava/2003/02/26/flash_remoting.html
http://www.flash-remoting.com/

Respondendo DE NOVO ao meu próprio tópico (será que eu sou o único xarope do GUJ que faz isso? alguns tópicos aqui tão parecendo mini-blogs meus):

http://openamf.sourceforge.net

projeto opensource que reimplementa todas as features do Flash Remoting MX, da Macromedia (que é proprietário e bem caro, até). Está no começo ainda, e já tem muita funcionalidade legal. Tem até gente usando em produção (eu, por exemplo

)

Li o artigo da onjava. A ideia é muito boa, vai facilitar muito o desenvolvimento com flash.

O negocio me parece uma grande furada. Pq em momento algum ele fala de segurança, ou pelo menos de qualidades.

Pelo que eu entendi, basta eu ter acesso ao servlet que posso causar 1 DOS no container criando 1 zilhao de objetos.

O artigo esqueceu de algo? Ou realmente flash remoting é esse buraco de segurança todo?

legal, vou dar uma olhada nisto

louds wrote:Pelo que eu entendi, basta eu ter acesso ao servlet que posso causar 1 DOS no container criando 1 zilhao de objetos.

O artigo esqueceu de algo? Ou realmente flash remoting é esse buraco de segurança todo?

Não, o Flash Remoting é nojento mesmo. O pessoal da OpenAMF tá tentando resolver as maiores brechas, mas a segurança toda pode ser resolvida com ServletFilters bem aplicados

cv wrote:
Não, o Flash Remoting é nojento mesmo. O pessoal da OpenAMF tá tentando resolver as maiores brechas, mas a segurança toda pode ser resolvida com ServletFilters bem aplicados

Tem razão, bastaria apenas 1 filter pra resolver o problema, mas ele teria de entender AMF.

cv wrote: mas a segurança toda pode ser resolvida com ServletFilters bem aplicados

ou o seu amado aspectwerkz. mata direitinho no classico caso de aspectagem para seguranca/logging, falai.

Paulo Silveira wrote:ou o seu amado aspectwerkz. mata direitinho no classico caso de aspectagem para seguranca/logging, falai.

Exatamente

Pena que tem algumas checagens que não dá pra fazer só usando AOP. O pessoal do OpenAMF tá meio preocupado com a segurança (mais do que a Macromedia, aliás), especialmente com ataques tipo denial-of-service. Um problema de fazer com AOP, nesse caso, seria saber de onde estão vindo os requests, para decidir se é preciso negá-los ou não.

Tem outra falha de segurança que não chega a ser horrenda, mas que pode trazer problemas tb: o Flash Remoting MX deixa qqer cliente Flash acessar um webservice através do gateway. Ou seja, qualquer servidor que esteja rodando o gateway vira um proxy instantaneo de webservices, pronto pra ser abusado.

PS: Saiu versão nova do AspectWerkz, e agora ele se mudou pra CodeHaus (antes estava na SourceForge): http://aspectwerkz.codehaus.org

Novidades: o pessoal da CarbonFive lançou uma ferramenta de segurança para gateways Flash Remoting chamada FlashGateKeeper.

URL: http://carbonfive.sourceforge.net/flashgatekeeper/

class Cv {
    private boolean iAnswerMyOwnQuestions;
    // General methods enter here

// Define auto-anwsering
    public void setAutoAnwsering(boolean auto) {
        this.iAnswerMyOwnQuestions = auto;
    }

public boolean isAutoAnwseringEnabled() {
        return this.iAnwserMyOwnQuestions;
    }

// Ask a new question
    public int newQuestion(String question) {
        int questionId;
        // posts a new question etc etc
        // questsionId is generated by the Database,
        // when a new post is inserted

if (this.isAutoAnwseringEnabled()) {
            this.anwserQuestion(questionId, this.generateAnwser());
        }

return questionId;
    }

public void anwserQuestion(int questionId, String msg) {
        // lots of code
    }

public String generateAnwser() {
        // bla

return anwser;
    }

// TODO: put other appropriate methods here
}

public class TestCs {
    pubic static void main(String args[]) {
        Cv cv = new Cv();
        cv.setAutoAnwsering(true);

// Other declarions ans initializations..

// Make cv help the other guys from GUJ
        // ( and himself, with auto-anwsering )
        while (true) {
            cv.newQuestion(randomingQuestionStr);
        }
    }
}

UAU, isto que eu chamo de falta de sono

bom, estou começando um projeto em que provavelmente vou utilizar o flash remoting (pelo menos se isto não complicar demais a minha vida

se quiserem trocar uma ideia é só falar

Estou usando Flash Remoting num projeto já, e depois de umas semaninhas de testes com o OpenAMF, joguei o Flash Remoting pra J2EE fora. Valeu a pena, até agora

Notícias, artigos e o maior fórum brasileiro sobre Java