Взлом.

[1a0]

Хочу поделиться своими мыслями по поводу раздевания персонажей на сервере. Может быть в этой теме возникнет здравая идея по возможному решению данной проблемы.

Итак на сервере присутствует момент, когда аккаунты взламывают и раздевают. При помощи администрации можно заказать разбор логов за 10 колов за каждые сутки. Таким образом, если Вам повезло и Вы знаете дату раздевания, то это все обойдется в 10 колов. Если знаете приблизительно - это обойдется дороже. И так за каждого персонажа. Так же в случае разбора логов Вам предоставляется возможность заблокировать компьютер на котором происходила махинация по раздеванию Вашего персонажа.

Теперь немного размышлений по этому поводу:
1. пароли взламываются не на сервере, так как логин сервер закрыт к доступу, по утверждению администрации и я в это верю. Значит для обеспечения безопасности существует 2 способа:
а) привязка по ай-пи. (не уверен в его надежности)
б) последнее и лучшее антивирусное покрытие. (естественно не бесплатное)
2. если с Вашего персонажа сняли вещей меньше, чем на 10 колов, то у большинства игроков не возникнет желания заказывать разбор логов. А значит - кради, гуляй, по мелочи воруй!
3. если сняли вещи со всех Ваших персонажей, то разбор логов так же обойдется в копеечку, потому максимум на что пойдут - разбор логов по персонажам с которых сняли что-то ценное.. (опять же ценнее 10 колов).
4. на практике "мошенник" действует достаточно грамотно, потому пункт "Вам предоставляется возможность заблокировать компьютер на котором происходила махинация по раздеванию Вашего персонажа" - является ошибочным. То есть - с этого компьютера (или с компьютера, который заявляет, что его "уникальный номер" такой же) если и была произведена операция мошенничества, то человек, который является единственным пользователем этого компьютера отношению к похищению вещей скорее всего никакого не имеет. Так сказать - подстава. В результате, мы лишаемся человека с его окнами, который играл, а мошенник продолжает свою результативную деятельность. Единственное чего лишается - шмота после разбора логов.

И наконец вопросы:
1. кому это надо?
2. что делать если Вас раздели?
3. какие возможные способы нахождения истинного мошенника?

[st1morol]

Димон, как показывает практика, этот мошенник близкий человек, которому был доверен акк, это первое, а второе скажу следующие, я старку говорил уже, подбор паролейц можно делать через сайт арканы, если он думает что "каптчу" не возможно обойти то ошибается, возможно всё, и умельци сейчас куда подкованней, потому если кто то утверждает что взломали, это вполне реально, но 95% случаев это "мыши"

[Forbidden]

Димон, как показывает практика, этот мошенник близкий человек, которому был доверен акк, это первое, а второе скажу следующие, я старку говорил уже, подбор паролейц можно делать через сайт арканы, если он думает что "каптчу" не возможно обойти то ошибается, возможно всё, и умельци сейчас куда подкованней, потому если кто то утверждает что взломали, это вполне реально, но 95% случаев это "мыши"

Хочется вставить свои 5 копеек.

Как можно сделать подбор пароля не зная логина?
Пальцем в небо?
И даже если Вы "засветили" свой логин, то очень большую роль играет "брутоустойчивость" - если пароль 9 и более символов (именно символов, а не только цифр или только букв) то шанс подобрать его стремится к нулю ибо вариантов масса (сами прикиньте).

Посему как показывает практика вещи снимают, "раздевают", только на тех акках к которым есть доступ 3х лиц.

Так же очень хочется добавить, что привязка у нас не по айпи, а по уникальному коду который генерится для конкретного компа и его узнать можно только одним образом - взломав нашу БД.

[st1morol]

вот ты лол, вроде модер а лол, зачем ломать вашу бд? достаточно норм украсть базу "говносервер.лол", болшинство людей всегда и пароль и логин делают одинаковыми, наверное 75% таких, в чем трабла? на андроиде легко "капчу" обойти, эмулировать андроид под винду и работай, проверять существует ли логин такой не трудно, достаточно сделать восстановление, и там напишет на ваше мыло ушатал новый пароль, и всё работай)) а если посчитать что каждый пишет пароли типа 12345678 то вообще нормас

[1a0]

вариации следующие:
1. на мой логин с компа (по его уникальному номеру) заходили, при этом связки логина/пароля не знала ни одна живая душа, кроме меня. это был уникальный лог/пас, который я не давал никому и никогда. кардинально отличающийся от всех остальных моих логинов паролей.
Каюсь, логин уже использовался доселе, но пароль был абсолютно другой и, кстати говоря, далеко не 123...
2. по поводу уникальности кода - я порылся в нэте. есть программы, который могут поймать "уникальный код компа" не касаясь сервера в принципе. нужен всего лишь контакт с компом. К примеру - электронное письмо на почту владельца компа (автоматический ответ о "получении почты на компьютер" или же простое открытие данного письма) высвечивает перед пользователем проги "уникальный код компа". Другие программы дают возможность на запрос этого самого кода "показать другой". Как результат, по моим логическим соображениям - система сервера присваивает левому компу "уникальный код" другого компа.  Таким образом ни БД сервера ломать не приходиться, ни шпионов никаких закидывать.

[Forbidden]

2 st1morol лол произошло от английского lol - laughing out loud (громко смеяться вслух). Посему меня всегда удивляют люди которые пытаются таким образом кого либо оскорбить.

2 1a0 окей допускаю, такие программы существуют и от них застраховаться невозможно, только в случае затроянивая компа гораздо проще вытащить данные не об уникальном коде а вообще всю информацию, в противном случае овчинка выделки не стоит.

Вы сейчас пытаетесь мне доказать, что "взломать" можно. Мой ответ - нет, либо докажите.
Теоретически взломать можно любой софт, но есть еще один нюанс, те люди которые смогут это сделать запросят очень солидные суммы денег, просто так никто это делать не будет. Исходя из данного положения взлом аккаунта на фрисервере просто невыгоден по экономическим причинам.

И все "раздевания" происходят только по вине людей которые дают свой логин и пароль трерьим лицам.

[st1morol]

форб, для меня лол значит смешной))) а не обида))) :DDD а вто по поводу не выгодно, я бы поспорил, есть такой клан "биби" у них программер норм, они все сервера ломают и шмотки продают)) им это выгодно )

[1a0]

Forbidden, я лишь указал, что теоретически это возможно в обход сервера. практически же никогда этим не занимался, но погуглив немного, понял, что разобраться в этом можно и мне кажется, для этого не нужно быть сильным программистом и платить огромные деньги дяде. хотя возможно, я ошибаюсь.

видимо с вашей стороны суть проблемы сводиться к тому, что у нас(у тех у кого что-то украли) стоит плохой антивирус (в случае если заходили на уникальные, "секретные" пароли). но, пока тебя не взломают - ты об этом не узнаешь - верно? обидно, досадно, но ладно. вопрос не в этом. суть вопроса в том: как найти и предотвратить?

На личном опыте могу сказать, что бан компьютера, к сожалению, банит не злоумышленника, а компьютер под который маскируются во время "раздевания".

[Forbidden]

Теория это теория, а практика это практика.

На деле все взломы сводятся к поиску уязвимости. Уязвим пароль - сломают через брут, уязвим комп - протроянят, уязвим сервер - это п@ц.

Я не первый день занимаюсь серверами и сетевыми технологиями. Были моменты и когда меня ломали и когда я дырки находил, бывало разное. Но все же есть такой момент, как опыт и он показывает, что в 99% случаев виноват именно пользователь, а не серверная часть.

[1a0]

Я ни слова не сказал, о том, что виновата серверная часть.
Я говорю о том, что серверная часть не может определить злоумышленника со 100% вероятностью по вышеуказанным причинам. И пытаюсь разобраться, что можно сделать, что бы его найти. 

[st1morol]

Теория это теория, а практика это практика.

На деле все взломы сводятся к поиску уязвимости. Уязвим пароль - сломают через брут, уязвим комп - протроянят, уязвим сервер - это п@ц.

Я не первый день занимаюсь серверами и сетевыми технологиями. Были моменты и когда меня ломали и когда я дырки находил, бывало разное. Но все же есть такой момент, как опыт и он показывает, что в 99% случаев виноват именно пользователь, а не серверная часть.

нге повторяй мои слова  я первый такое придумал