Возможно, вы захотите прочитать про «маркерный кряк», содержащий online polling system.
Замените концепцию «отправки голоса» на «отправку оценки», и вы увидите, что любой клиентский элемент управления обязательно сработает.
Хотя хорошим шагом может быть шифрование оценки или использование HMAC для предотвращения несанкционированного доступа, ваше шифрование будет выполняться на клиенте Flash, а приложение Flash может быть запрограммировано с обратной связью для ключа (это увеличивает усилия, необходимые для чит, но не будет препятствовать обману).
Чтобы свести к минимуму мошенничество, вам нужно будет переместить логику подсчета на сервер и, вам нужно будет выполнить проверку на работоспособность или иным образом проверить действия игроков; в противном случае подход к обману будет выполнять недействительные действия, которые приводят к большему количеству очков, а не просто сообщают окончательный результат. (Этот последний бит расплывчатый, так как непонятно, какая это игра.)
По крайней мере, вы должны иметь возможность связывать счетные обновления с конкретным пользователем, чтобы мошенники могли влиять только на собственный счет, а не другие. Я могу только думать о способах связать эффект обмана, например, ограничение скорости, так что если средняя игра составляет N минут, сервер принимает только 60/N баллов за час. Или используйте некоторые другие показатели/период времени. Но для того, что вы описываете как крошечную игру, которая, вероятно, не стоит усилий - тем более, что она ограничивает только проблему, она не решает ее.
Спасибо за ответ. Я как бы понял, что это не проблема CSRF. Мне нужно изменить свой вопрос на этот вопрос: Если мне нужно отправить данные из моего флеш-приложения на свой сервер, то как лучше всего безопасно его защитить, чтобы не только кто-то мог отправлять достоверные данные самостоятельно? Я полагаю, что могу зашифровать свои данные, которые отправляет флеш-приложение, а затем расшифровать их на бэкэнд и обновить мою БД только в том случае, если он действителен. Это связано с тем, что интеллектуальный пользователь не может понять, как я шифрую данные. – Paganwinter
Единственный способ сделать это - аутентифицировать пользователей с помощью loginID/пароля. Шифрование данных не является решением, потому что если вам нужно сохранить ключ в файле swf flash, и интеллектуальный пользователь может легко извлечь этот ключ из файла. –