Сайт\клиент улучшение системы безопасности.

Запили дверь

Pimka, а для админов это заработок, а для игроков это потеря множества человеко часов, что делает при хаке эту потерю времени безвозмездной.

ArhimondR

Во первых - как можно перехватить пароль?

1. Трояном
2. Сниф-атакой

От умных троянов https защиты не даст, потому что могут просто напросто скейлогать, или стырить куки, или....ну методов много=)))

От сниф атак можно защитится только платным(довольно таки не дешевым) SSL сертификатом, и то, при учете того что пользователи будут внимательными и каждый раз проверять сертификат. Если мутить OpenSSL сертификат, сгенерированый вручную - то от сниферов это защиту не даст. Ибо с помощью сниф-атаки можно подменить сертификат на свой. Вряд ли кто то будет звонить овану чтобы проверить MD5 чек-сумму=))) Ну либо вообще ее проверять.

Аналогично это же можно сказать на счет шифрования пароля-логина в апдейтере. Это только замедлит вход в игру, но особого прироста безопасности от этого не почуствуется.

Для любителей сверх-безопасности - Linux+Wine(на несколько порядков уменьшает шансы подхватить троян)+доступ в интернет по шифрованому PPTP протоколу(предельно уменьшит шансы сниф-атаки)

Енот Потаскун

ArhimondR В рагнарок играют по мима таких умных людей знающих про Никсы, как ты, не много! А еще много Блондинок. А еще много шокоты. А еще много лентяев. Не думаю, что хоть 10% от общего онлайна играющих щас на Окнах, ломанутся ставить Линукс, для игры в рагну.
Первое когда они плюнут на это дело - Монтирование дисков.
Второе когда они будут пытаться запустить рагну.
Да и если взломщику реально понадобиться взломать тебя, сколько ты не шифруйся или оберегайся, рано или поздно лаз найдется!
Оно и это окно логина кумарит. Логиниться по 10 мин. с моим калькулятором, не есть гуд. А слушать то, что мне пора менять комп, я не собираюсь. Рагна, не та игра, ради которой, стоит менять его.
Так что, думайте что от куда качаете и будет вам счастье!

Йокко

Мне кажется, что сниффер опасен только в пределах одного хаба...)

Pretty Bee

Интересна статистика, сколько % злоумышленников умудрялось перехватить таким образом логин и пароль.

ArhimondR

Енот Потаскун, Йокко

Для любителей сверх-безопасности

Pimka

Повторюсь )

@Pimka:
Не перегибаете? Это всего лишь игра.

Запили дверь

Pimka, повторюсь

@"Запили-дверь":
Pimka, а для админов это заработок, а для игроков это потеря множества человеко часов, что делает при хаке эту потерю времени безвозмездной.

-Loki-140

не говоря уже о том, что у ворованных вещей есть вполне реальный денежный эквивалент.

Линукс не вариант, запустить можно, но ро будет глючить по сравнению с виндой. Иногда пощелкать можно, но постоянная игра и тем более гв...

drinkermann

Что-то не туда пошла дискуссия.

1. Я указал реальную уязвимость, для которой уже ЕСТЬ эксплойты. Посниффать можно не только будучи в пределах одного хаба, можно представиться шлюзом, можно вообще договориться с провайдером и прогнать через себя весь траффик, да много способов есть.
   Тут решение однозначное и простое как апельсин, платный SSL сертификат у той же альфы стоит на один домен 50 баксов в год или 150 баксов за любое количество доменов, это реально смешные деньги. Если уж на то пошло, то один только я покрываю за год эти 150 баксов. У комодо и тафти подороже немного, но тоже вполне вменяемые цены. Я бы даже оплачивал отдельно лично для себя сертификат =).

2. Угроза потенциальная, но она есть. Вероятность успешного взлома при известном логине не нулевая. Думаю это очевидно. Потенциальная угроза - тоже угроза. Частично решается шифрованием, но оно не избавляет от подглядывателей, например в транспорте. Тут решение проще пареной репы просто убрать вывод логина или ников, уж это то можно ведь сделать?

3. Пароль в апдейтере шифруется, причем ключ меняется(и как я понял он стойкий), то есть велосипед изобретать не надо, ничто не мешает применить то же шифрование к логину. Это реально пара строк кода.

ArhimondR, кейлогер это не проблема разработчиков апдейтера и сервера, это сугубо пользовательская проблема. А вот логины и пароли передаваемые в явном виде это проблема сервера. Так понятнее? Во всяком случае от защита от кейлогеров предложена и вполне эффективна, файл ключей гигов на пять и ограничение на аплоад в 2 гига с компа на котором ключ. При таком раскладе в принципе можно вообще не заботясь о паролях играть, если премиум себе проплачивать сразу на год вперед. А насчет линукса я не согласен, как раз там и узнал, что логин явно передается. В логах тупо увидел свой логин.