Сайт\клиент улучшение системы безопасности.
-
В кратце суть уязвимостей:
- Личный раздел на сайте не шифруется, следовательно злоумышленник имеет возможность перехватить логин и пароль.
Решение: https в личном разделе.
- После того как в личном разделе появилась информация о персонажах аккаунта существует вероятность, что злоумышленник сопоставит логин и имена персонажей, так же это упрощает использование уязвимости номер 1.
Решение: Убрать информацию о логине из личного раздела ("Привет, %username%") или информацию о чарах.
- При вызове руро передавать логин в шифрованном виде, наравне с паролем, сейчас шифруется только пароль. Суть уязвимости: возможен перехват логина сторонним логгером(имеется в виду не кейлоггер, а обычный лог что когда запущено). Если логин в том же виде передается по сети, то аналогично сайту - уязвимость связана с перехватом открытого логина.
Решение: аналогично паролю, думаю не сложно в реализации.
Считаю, что доработки не потребуют больших трудозатрат, но общая безопасность улучшится на порядок.
-
Не хочу новую тему делать, добавлю тут отдельным постом.
Было бы неплохо сделать фиксированную ширину страницы на сайте ибо в разрешениях выше 1280 по ширине смотрится она очень пусто, у меня в 1920 ширине страница выглядит пустой на 70%, могу только посочувствовать тем у кого 2560. -
Личный раздел на сайте не шифруется, следовательно злоумышленник имеет возможность перехватить логин и пароль. - Ет как перехватить логин и пароль!
-
Не перегибаете? Это всего лишь игра.
-
Pimka, а для админов это заработок, а для игроков это потеря множества человеко часов, что делает при хаке эту потерю времени безвозмездной.
-
Во первых - как можно перехватить пароль?
- Трояном
- Сниф-атакой
От умных троянов https защиты не даст, потому что могут просто напросто скейлогать, или стырить куки, или....ну методов много=)))
От сниф атак можно защитится только платным(довольно таки не дешевым) SSL сертификатом, и то, при учете того что пользователи будут внимательными и каждый раз проверять сертификат. Если мутить OpenSSL сертификат, сгенерированый вручную - то от сниферов это защиту не даст. Ибо с помощью сниф-атаки можно подменить сертификат на свой. Вряд ли кто то будет звонить овану чтобы проверить MD5 чек-сумму=))) Ну либо вообще ее проверять.
Аналогично это же можно сказать на счет шифрования пароля-логина в апдейтере. Это только замедлит вход в игру, но особого прироста безопасности от этого не почуствуется.
Для любителей сверх-безопасности - Linux+Wine(на несколько порядков уменьшает шансы подхватить троян)+доступ в интернет по шифрованому PPTP протоколу(предельно уменьшит шансы сниф-атаки)
-
ArhimondR В рагнарок играют по мима таких умных людей знающих про Никсы, как ты, не много! А еще много Блондинок. А еще много шокоты. А еще много лентяев. Не думаю, что хоть 10% от общего онлайна играющих щас на Окнах, ломанутся ставить Линукс, для игры в рагну.
Первое когда они плюнут на это дело - Монтирование дисков.
Второе когда они будут пытаться запустить рагну.
Да и если взломщику реально понадобиться взломать тебя, сколько ты не шифруйся или оберегайся, рано или поздно лаз найдется!
Оно и это окно логина кумарит. Логиниться по 10 мин. с моим калькулятором, не есть гуд. А слушать то, что мне пора менять комп, я не собираюсь. Рагна, не та игра, ради которой, стоит менять его.
Так что, думайте что от куда качаете и будет вам счастье! -
Мне кажется, что сниффер опасен только в пределах одного хаба...)
-
Интересна статистика, сколько % злоумышленников умудрялось перехватить таким образом логин и пароль.
-
Енот Потаскун, Йокко
Для любителей сверх-безопасности
-
Повторюсь )
@Pimka:
Не перегибаете? Это всего лишь игра. -
Pimka, повторюсь
@"Запили-дверь":
Pimka, а для админов это заработок, а для игроков это потеря множества человеко часов, что делает при хаке эту потерю времени безвозмездной. -
не говоря уже о том, что у ворованных вещей есть вполне реальный денежный эквивалент.
Линукс не вариант, запустить можно, но ро будет глючить по сравнению с виндой. Иногда пощелкать можно, но постоянная игра и тем более гв...
-
Что-то не туда пошла дискуссия.
-
Я указал реальную уязвимость, для которой уже ЕСТЬ эксплойты. Посниффать можно не только будучи в пределах одного хаба, можно представиться шлюзом, можно вообще договориться с провайдером и прогнать через себя весь траффик, да много способов есть.
Тут решение однозначное и простое как апельсин, платный SSL сертификат у той же альфы стоит на один домен 50 баксов в год или 150 баксов за любое количество доменов, это реально смешные деньги. Если уж на то пошло, то один только я покрываю за год эти 150 баксов. У комодо и тафти подороже немного, но тоже вполне вменяемые цены. Я бы даже оплачивал отдельно лично для себя сертификат =). -
Угроза потенциальная, но она есть. Вероятность успешного взлома при известном логине не нулевая. Думаю это очевидно. Потенциальная угроза - тоже угроза. Частично решается шифрованием, но оно не избавляет от подглядывателей, например в транспорте. Тут решение проще пареной репы просто убрать вывод логина или ников, уж это то можно ведь сделать?
-
Пароль в апдейтере шифруется, причем ключ меняется(и как я понял он стойкий), то есть велосипед изобретать не надо, ничто не мешает применить то же шифрование к логину. Это реально пара строк кода.
ArhimondR, кейлогер это не проблема разработчиков апдейтера и сервера, это сугубо пользовательская проблема. А вот логины и пароли передаваемые в явном виде это проблема сервера. Так понятнее? Во всяком случае от защита от кейлогеров предложена и вполне эффективна, файл ключей гигов на пять и ограничение на аплоад в 2 гига с компа на котором ключ. При таком раскладе в принципе можно вообще не заботясь о паролях играть, если премиум себе проплачивать сразу на год вперед. А насчет линукса я не согласен, как раз там и узнал, что логин явно передается. В логах тупо увидел свой логин.
-
