Воскресенье,
18.02.2018, 06:06
Приветствую Вас Гость
Форма входа
«  Апрель 2010  »
ПнВтСрЧтПтСбВс
   1234
567891011
12131415161718
19202122232425
2627282930

Архив записей

Онлайн всего: 1
Гостей: 1
Пользователей: 0
Главная » 2010 » Апрель » 9 » И безопасность только снится нам…
И безопасность только снится нам…
12:40
Если Вы не используете своего игрового персонажа только для «боевки», что на данный момент встречается чаще всего, но и следите за новостями проекта, читаете на многочисленных форумах и сайтах, об изменениях, дополнениях и происшествиях, то Вы просто не могли не заметить воскресного казуса, всколыхнувшего мирок Дозоров.
 
Суть происшедшего в очередной раз затронула одну из «слабых» сторон проекта, а именно безопасность, которой, похоже, уже никогда не будет уделено должного внимания. Немного полистав старые записи форумов, можно восстановить наиболее значимые события, связанные с безопасностью и «взломами»:
 
– эпизод с так называемым Scorpions’ом, зарегистрированным в игре аж в 2005 году, но проявившим себя только в апреле 2009-го. Причем проявил себя он путем подбора паролей администраторов игры и к «контролке», ввиду чего было введено большое количество игровых денег и модификаторов, подорвавших и без этого нестабильную экономику игры.
 
– доступ к админ-панелям группой злоумышленников (Брат, Неоновый снег, Rodriguez и Astela), полученный не без помощи одного из бывших администраторов и опять в том же самом многострадальном апреле 2009-го. Все та же схема: выброс в игру большого количества игровой валюты и модификаторов, но эта акция, по заверению администрации, своей целью ставила обогащение конкретных личностей. Несмотря последовавшее на объявление руководства «…на данный момент последствия данной акции локализованы», по словам одного из злоумышленников на конец марта 2010-го эти самые последствия не «локализованы» даже наполовину, так как множество «рисованных» денег и модификаторов отследить на уже не предоставляется возможным.
 
Последние события по традиции относятся к апрелю. Правда, уже сего года. В самом начале апреля, 4-го числа, злоумышленник, подобравший пароли доступа к нескольким персонажам-главам темных организаций, «оторвался» по полной. Объявил несколько войн и распустил почти всех сотрудников, удалил организацию, направо и налево раздавал «молчанки» в игровом чате игры и, соответствуя уже ставшему для каждого «взломщика» закону, затеял флуд и споры с администрацией на игровом форуме.
 
Таким образом, в какой уже раз руководство проекта столкнулось с проблемой своей собственной безопасности и безопасности своих пользователей. Реакция ее как всегда была более чем сухая и ограничилась обычными «предупреждениями о безопасности Вашего персонажа» которые постоянно транслировались в чате игры и незначительными постами на форуме игры. Для лучшего разъяснения ситуации мы решили обратиться к специалисту, понимающему в этом гораздо больше автора статьи. Он и пролил Свет на проблемы и показал несколько путей решения сложившейся неприятной ситуации:
 
« - Если Вы работаете web-программистом, и у Вас имеется опыт в создании сайтов и Интернет-приложений, то, думаю, не раз сталкивались с проблемой проверки паролей при регистрации пользователей. Скорее всего, в Вашем арсенале найдется не одно решение подобной проблемы. Но, допустим, что все это в первый раз и перед нами стоит задача создать программу/сервис/функцию которая проверит «букавки», которые вводит наш дорогой пользователь, на адекватность, и, что наиболее необходимо нам, на сложность.
Если данная функция потребовалась для оптимизации сайта, разработанного на ucoz, то тогда нам крупно повезло. Достаточно войти в наш любимый google и набрать там такую строчку «проверка сложности пароля ucoz». Пройдя уже по первым ссылкам (например сюда), мы получаем код и подробные инструкции, как и куда его вставить на наш сайт, чтоб он стал лучше. В итоге временные затраты сводятся к минутам 15-20, а о денежных можно даже и не говорить.
 
Если Вам нужно решить данную проблему для форума, написанного на phpbb3, то опять же – ничего сверхсложного. Нужно аккуратно зайти в панель администрирования на вкладку «общие настройки» и в меню выбрать «безопасность», где система предложит выбрать один из 4х вариантов: «без требований» — отключит проверку сложности пароля; «должен быть со смешанным регистром» — пользователи должны будут использовать в своих паролях прописные и маленькие буквы одновременно; «должен содержать буквы и цифры — помимо всего вышеперечисленного, в пароль должны быть как буквы, так и цифры»; «должен содержать символы — в паролях, кроме букв и цифр должны быть ещё и другие символы. В принципе, очень неплохо и нам этого будет вполне достаточно. Итого, временных затрат – минут 5-10, денежных – снова ноль, так как данная функция входит как «базовая» в состав phpbb3.
 
Но вдруг, мы не используем какую-либо известную CMS (систему управления контентом)? У нас, допустим, своя система, например – он-лайн игра. Как быть в этом случае? Во-первых, надо понять цепочку действий. Когда пользователь вводит свои данные в поля формы регистрации, то, прежде чем отправить всю эту информацию на сервер, мы можем вставить промежуточную функцию, которая будет проверять данные. Причем, если учесть, что у нас уже есть более сложные проверки на «Запрещенные Ники» или на «Совпадение с уже зарегистрированными», то вставить еще одну небольшую проверку «На валидность пароля» не сложно. Вся проверка сводиться к одному регулярному выражению (хотя возможны и более сложные реализации), которое как раз и будет проверять – подходит ли наш пароль к требованиям. Если он им не удовлетворяет, то система просит ввести другой. Пример таких выражений и функций в Интернете очень много, так же можно все это красиво представить с индикаторами и разными цветами, было бы только желание и время. Так что временные затраты могут быть разные, но в пределах пары дней.
 
Итак, мы убедились, что проверка пароля на сложность очень проста и не требует найма специалиста. Тогда встает вопрос: почему это до сих пор это не реализовано в нашей любимой игре? (И не надо сейчас возмущаться, что все у нас есть, отсылая к этой теме). Ради проверки я сейчас зашел на главную страницу и прошел регистрацию, перед этим просмотрев начальный квест. Хочу отметить, что введенный мной пароль состоял из обычного слова из 5 букв. Какой смысл изначально разрешать пользователям вводить пароли, совпадающие с логином, чтобы потом сообщать, что пароль не подходит под эти самые требования?
 
Пока мы разбирались с проблемой создания паролей, в голову пришла мысль о проблеме защиты паролей, а точнее их шифрования. Интересно, если нет адекватной системы с их проверкой, неужто тогда есть система по их шифрованию, которая в разы сложнее и требует уже определенной подготовки человека в области web-программирования и шифрования данных? Таким образом, смею предположить, если этот человек получит доступ к БД (базе данных), у него не будет никаких проблем с паролями и входами за любого игрока. Нужно отметить, что для повышения безопасности в данном случае можно было бы написать функцию, которая заставила бы пользователей через определенное время менять пароли (пример такой возможности нам может встретиться на phpbb3).
 
Подводя итог, нужно сказать, что есть цепочка проблем с безопасностью: если нет проверки адекватности паролей, нет их шифрования – нет и безопасности хранения данных. Если нет безопасности хранения данных – то при регистрации нельзя запрашивать конфиденциальную информацию, а без нее не проведешь аутентификацию пользователей. Тем самым будет сложно доказать случаи передачи персонажей, игру разными людьми, да и просто кражу. Как можно доказать, что это действительно взращенный тобой маг, зверь или вампир, если все, что ты можешь назвать (ник, логин, контрольный вопрос) известно любому игроку?»
 
Думаю, комментарии излишни. В то время, пока одни зарабатывают на безопасности баснословные деньги (тому примером может являться основатель и руководитель компании Oracle Ларри Эллисон, которому удалось заработать 84,5 миллиона долларов только за 2009 год, по версии журнала Forbes), мы довольствуемся псевдобезопасностью, которая постоянно «сажает нас в одну и ту же лужу».
 
Отдельное спасибо за справку и пояснения независимому специалисту и игроку Anaza ,пр1
Просмотров: 811 | Добавил: SirAnT | Рейтинг: 4.8/6 |
Всего комментариев: 191 2 »
19  
а вот 12-14 буквенно числовых значений это работа на годы сперкомпу )

18  
8 цифр к имеющемуся хэшу это несколько часов

17  
Ничего не понял... Если воруют хэши сделайте минимальный пароль 12-14 символов, и не возможность быстрого ввода паролей (и все ) если пароли не кодируються с помощью хэш функций , то займитесь садомазохизмом ))) как так проект не хилый , реал гнать предлагаете а защиты нет...

15  
Девочка а девочка..
а где я написал что вы сотрудник альфы?
-
живёт* - на портале..если уж сразу не поняли
как в орге называете - это не приписывает автоматом в состав..ага

Так что с шоколадом завязывайте..
Как-то он не так,на вас влияет..
----
А статья - ниочём(с)
Ларри,юкос..всё в кашу и ни разу про собственно - конкретно браузерки и конкретно дозёры..

PS:
А в кино надо заслужить,да
Ну не могу же я засчитать за статью опиСывающую "проблемы"
кашу про Ларри и воду про "подбор пароля" у Вась ,который состоял из логина - Вася пароль - Вася...

Хотя,наверное..это всё-таки проблема..но явно не на стороне "провайдера".

А теперь,да..
оценив масштабы долбо..ства своих пользователей..
и устав от лени
может и зачешутся,может таки приведёт в современному виду "безопасность" аккаунтов в своём* проекте.
-----
Хотя,повторюсь..

Дело не во флеше,и уж точно не в слабом внимании/кривых руках быдлокодеров)
Ибо Алермо,своей наивностью или простотой..или всё-таки скиллом,кому как удобнее это понимать..
Не такой уж и убогий фундамент оставил..

Логин,который не = нику по дефолту..(в БК и многих старых* браузерках это именно ник=логин)
И если это не Вася-Вася
то это вам надо сначало его подобрать и уж потом за пароль приниматься...
вернее..это подбор 2 групп(цифр_букв) одновременно...зная лишь их кол-во(мак/мин допустимое число символов в логине/пароле)
-
Те,явного апгрейда...это не требовало.
Да и сейчас,особо не требует...ся
Защита Вась от Вась,кому она нужна кроме Вась?))
да и не поможет она им,если они действ Васи..

PPS:
но второй пароль,как второй БКашный флеш пароль..
я бы лично ввёл.
это 110% гарантия потери контроля над персонажей - лишь по своей вине.
продали,передали..всем друзьям рассказали ..etc


13  
Вы прям меня смущаете... Я согласна на цветы и конфеты, а еще можно кино в воскресенье и попкорн?..

Разрешите теперь не согласиться с Вами... я к организации Альфа никакого отношения не имею, посмотрите в статье какой орг значок указан.

А касательно нашего разговора, то тут соглашусь. Убедили, что наша Контора разработчиков много чего может и в принципе вторым постом Вы уже ответили на ряд вопросов "почему при этом они ничего не делают". Но разве игрокам приятно будет осознавать, что на них забили, что от поддержки их игры практически отказались? Как то некрасиво получается.

Чем же Вам статья не понравилась, если Вы согласны со всеми проблемами которые там перечислены (с бездействием администрации)? Может Вас кто-то из альфы нанял для ажиотажа (надеюсь, что это мои фантазии, а то разочаруюсь)? Или с чего такой интерес?

PS а на девочку и не обижаюсь, а даже очень Вас понимаю в данной проблеме. К сожалению сама с таким сталкиваюсь чуть ли не каждый день: заказчик начитается чего либо или у него друг великий хакер, а потом трать по пол дня на объяснение, что то что он предлагает это бред, который ему же и навредит. Рашен стайл, ничего не поделаешь )))))))))


14  

  • Альфа "Голос" не нанимала
  • Кстати, с возвращением его

Quote (Anaza)
Рашен стайл

ja, ja, Саша у нас русский smile

16  
Есть люди умные, а есть мудрые! В очередной раз наглядно было показана разница между этими двумя разновидностями человеческого развития, суть увидел мудрый, а умный понимая ее, оспаривает... Рассудит только время...

12  
Отчего-то,вспомнился анекдот
про лысую девочку:
- Девочка,а девочка..а как же у тебя бантик держится?
- как прибили,так и держится!
(с)

11  
а возвращаясь к теме паролей...
-
Я очень охотно верю в проблемы или в какой-то степени - хроническую,неспособность NMS разбираться с наследством Аль'Эрмо..
в попытках добавления модулей,надстроек или еще чего..на этот фундамент с индийским кодом))
Про это даже можно шутить,в серьёз..

Но гнобить* или сомневаться,в неспособности повторить какую-то простейшую штучку в виде 2ого пароля который вводится на флеш клаве
которую в 2005 в БК сделали на коленке...в подвале..

Ну вы что?поимейте совесть....
Если даже в данный момент на проекте* Дозоры,прикреплены студенты или бомжи*,или криворучки..или с кем их там ваша Аназа,путает..
Есть же другие отделы NMS..
так что если поступит задание* от Ихари,на тот же флеш пароль 2ой - его выполнят..
На заморочки с ограничениями на лёгкость* логина/пароля - туда же..

Тут силами 2-3 людей(тех же студентов)
люди приложения для соц сетей декомпилируют ..те тырят) всяких фермеров и прочие флеш казуал убожества..
ну и свои клепают,пачками..

Так что никаких неразрешимых "хронических" проблем,у NMS - с флешем..просто быть не может.
Да и вообще,всё что у них "своё"..оно вполне нормальное.
------------
Если уж переводить нашу "дозорную боль" НА область специалистов..

У NMS просто не нашлось людей и времени(проект Дозоры ..давно не основной и не вопринимается ими как главный..любимый..etc,увы)
Для обеспечения достойного внимания..нашей,некогда занятной..игре.
-
Всё-таки клеймо/след "не своей разработки",оно до сих витает рядом с Дозорами&NMS.
Мешает развитию,мешает ..да просто обычной рутинной работе..
заставляет полу извратом заниматься.
PS:
А на девочку,не обращайте внимание..
я таких на dtf..каждый день читаю
Это особенность российского IT коммюнити..
считать себя великими специалистами что аж пипец..
имея при этом за плечами,тоже самое или даже хуже)
Рашен стайл..чо


10  
подарите ей чтоль цветы,может хоть это её успокоит)
если не поможет - срочный укол - шоколада...
-
девочка у в упор не понимает(принимает) реальность..
люди работали с Alternativa3D еще начиная с сайта Древнего..
наверное..делали они это,совершенно не разбираясь во флеше..
Или всё-таки разбираясь? как же так=(
это ж пипец!
-
И игру по известной серии Дисайплз локализованную* в браузере,с помощью каких там технологий?
Этим криворучкам* тоже доверили случайно..это ж пипец что в мире твориться!

Куд не плюнь,везде специалисты..и справки.
ага

PS:
Всё-таки какая забавная у вас девочка живёт
так замечательно путает тёплое с мягким
Почему я её раньше не замечал?
А вы её как в орге называете?
не Убивашкой случайно?))))))))))))))))))))


9  
Голос тех,кого нет,

Мне тоже нравиться с Вами общаться, получаю массу положительных эмоций... так что продолжаем.

Если честно, то что Вы привели как пример мне ни о чем не говорит (кстати последняя разработка нашей конторы http://pipetz.ru думаю точно знакомо, да?). Так вот, жаль что Вы не привели прямых ссылок на Ваши примеры разработки НАШИХ ПРОГЕРОВ. Порывшись в интернете я нашла http://drevnii.ru/ (сайт без флэша, да и вообще с табличной версткой.... я такое за сайт вообще не признаю, так что надеюсь Вы что то другое имели ввиду). И нашла http://www.disciples3.ru/ (тут flash есть конечно, но ничего сверхестественного и сложного нет), так что жду от Вас ссылок с примерами.


8  
Anaza,
Какая вы смешная..светленькая наверное?)
-
Даю ещё одну бесплатную справку:

Контора* на которую вы грешите..не_знанием флеша..
Выполняла тучи подрядов* связанных как раз с этим флешем..
Древний_ру тот же..
А из последнего - подряд на локализацию* во флеше..браузерной версии Дисайплз..ага
Дисайплз,ага.

Знакомое такое название да?

Ну вы пишите есчо..
Люблю девушек с чувством юмора.
С ними не заскучаешь..


1-10 11-14
Добавлять комментарии могут только зарегистрированные пользователи.
[ Регистрация | Вход ]