spieleprogrammierer.de - Forum und Wiki zur Spieleprogrammierung und Spieleentwicklung

Ich glaube du suchst etwas, das es nicht gibt/möglich ist.
Vor allem was bringt es dir die Datenmanipulation zu erschweren wenn sie letztendlich doch noch möglich ist? Pseudo Sicherheit?

Ich verstehe immer noch nicht worauf du hinaus willst. Aber der Ansatz mit einem direktiven Server + Authentifizierung mit jeder Anfrage die nicht fest im Client (oder wie auch immer) verbaut ist erscheint mir am sinnvollsten.

Nach dieser Beschreibung des Programms sehe ich sogar noch weniger Gründe für eine Verifikation des Clients.
Nehme man als Beispiel eine Seite wie Facebook. Ein Beispielclient könnte dabei die Facebook-App für Android oder iOS sein. Dieser meldet sich mit, vom Benutzer eingegebenen Daten, bei Facebook an, damit der Benutzer mit Hilfe der App dann Statusupdates oder Kommentare schreiben kann.
Ein alternativer Client könnte ein selbstgeschriebenes Tool sein, welches evtl. automatisch Statusupdates auf Facebook veröffentlichen soll, wenn etwas anderes passiert ist (bspw. Veröffentlichung von Blogeinträgen, Hochladen von Videos, ...).
In diesem Fall ist es Facebook ziemlich egal, ob der Client nun die App für Android/iOS ist, oder ob der Zugriff über eine andere App stattfindet. Solange die Protokolle eingehalten werden und nur solche Aktionen angestrebt werden, zu denen der Benutzer (anhand Logindaten) auch berechtigt ist, ist alles in Ordnung. (Statt Facebook kann man auch andere Beispiele nehmen, wie Videoportale, Blogsoftware, Cloud-Office-Suites, Versionskontrollsysteme, ...)

Aber vielleicht siehst du einen Grund gegeben, warum diese Verifikation erforderlich sein soll (den du bisher nicht genannt oder ich überlesen habe).

Üblicherweise kann man eine UID als Basis verwenden und jedes Programm fügt ein Suffix dazu. Dann kann sogar der Server das Programm erkennen.

Zitat von »anti-freak«

Zitat von »Sacaldur«

Aber vielleicht siehst du einen Grund gegeben, warum diese Verifikation erforderlich sein soll (den du bisher nicht genannt oder ich überlesen habe).

Weil diese Daten Fortschritt/Statistiken der User dar stellen. Wenn jeder sich seinen Fortschritt mit Hilfe eines 2. Programms auf 100% setzen kann, macht das Ganze einfach wenig Sinn.

Dann lass einfach das Setzen des Fortschritts nicht zu? Wie bereits geschrieben solltest du eher Aufwand in den Server investieren, damit _dieser_ feststellt, ob die angefragten Änderungen plausibel sind.
"Statistiken" ist auch sehr allgemein gefasst. Wenn das eine Win-Loss-Ratio bei einem Online-Spiel ist, dann weiß der Server ohnehin, welcher Spieler wie viele Punkte gemacht und wann gewonnen oder verloren hat. Dieser könnte es somit entweder direkt auswerten oder dem Server die Daten liefern, der die Statistiken führt.

Je nach Art des Spiels besteht vielleicht folgende Möglichkeit: Anstatt dass der Client zum Server sagt "Ich habe Level 42 geschafft!", schickt er sämtliche vom Spieler durchgeführte Aktionen an den Server. Dieser simuliert den Level anhand der Eingabe des Spielers und entscheidet dann selbst, ob der Level geschafft wurde oder nicht.

Oder du lässt gleich die komplette Spiellogik auf dem Server laufen (Client schickt Eingaben und erhält Status der Spielwelt).

Aber vielleicht gibst du uns auch endlich mal mehr Details?!

Du möchtest also dass Benutzer ihre Daten einsehen und ändern können, plus ein anderes Tool mit dem man evt. mehr machen kann, z.B. Daten manipulieren? Dann bleibt immer noch das Rechte System mit Authenfizierung

Es gäbe noch die Möglichkeit über Zertifikate die dem Programm beiliegen, hatte ich auch schon erwähnt.
Das wird z.B. gerne bei VPN eingesetzt um den Client zu legitimieren.

Das Problem ist, dass du den Client selbst über diese wichtigen Daten entscheiden lässt. Da gibt es keine Lösung, solange du diese Logik nicht auf den Server verlagerst. Dem Client kannst du nie vertrauen. Da helfen auch keine Zertifikate oder Verschlüsselungen.