Bezpečnost vašich údajů a hesel

Informace o vybraných událostech ve hře. Pro kompletní informace o novinkách sledujte web.
Užitečné odkazy: Pravidla, Seznam změn, Tým Ekura
Zamčeno
Uživatelský avatar
Saggitarius
Zakladatel tématu
Game Administrator
Game Administrator
Příspěvky: 1261
Registrován: sob 01. kvě 2010 14:53:16
Poděkoval:
Má poděkování: 2901×

Bezpečnost vašich údajů a hesel

Příspěvek od Saggitarius » pát 11. lis 2011 23:00:06

Občas se objeví téma či tiket, který tvrdí, že nikdy nikomu nedal údaje k přihlášení a stejně byl vykraden. Proto vzniká toto téma, jako taková ukázka jak se lze k heslům dostat.


Jak jsou tedy data a hlavně tedy hesla na sindicate zabezpečena ?

Takže, nejprve je zde hardware ochrana.

Databáze je chráněna firewalem, který zamezí přístupu každému, kdo se nepřipojuje z jednoho ze 3 PC.
1 z nich je web (sindicate), zbylé 2 jsou IP adresy našich PC.
Kdyby se však stala chyba a dokázal by někdo prolomit hardwarový firewall (například jiný web na stejném PC v rámci hostingu), je nutno se prokázat přístupovým heslem. Kdy každý i správný přístup je monitorován. Ještě se doteď ale nestalo, že by přes firewall někdo prošel.
Stejným způsobem je chráněn přístup k serveru jako takovému. A tak se na daný PC nedá přihlásit bez hesla a kontroly IP adresy. Kde by někdo měl přístup k fyzické databázi.

Druhou stránkou je software ochrana.
Hesla v databázi k jednotlivým účtům jsou v databázi zahashována pomocí funkce známé jako HASH.
Viz reference na konci příspěvku.
Z wiki je patrné, že HASH se dá velmi obtížně dekódovat (restaurovat) Lze jej maximálně tak uhádnout.
Firma ORACLE, která vytvořila mimo jiných databázový systém MySQL, si pečlivě výpočet a kódování svých hesel střeží.
Na našem systému je navíc zvýšená ochrana hesel a to přidáním do hesel tzv. SALT viz reference.
Takže i kdyby někdo přešel přes první část tohoto příspěvku až k heslům, čekal by jej vcelku nadlidský úkol. Zde by bylo pro útočníka snazší si upravit svou vlastní postavu/účet než se "babrat" s heslem cizího účtu.

Druhá možnost jak se dostat k surovým datům v databázi je výpis přes tzv SQL Injektáž viz reference.
Zde je však ochrana skripty, které zastaví takovéto pokusy. Ještě vyšší ochrany se dosáhlo zákazem používat speciální znaky ve všech formulářích, které se odkazují do databáze. (Již před tímto krokem však byly chráněny jinými skripty, jen se přešlo na nové účinnější).

Prozatím si nevzpomenu co bych ještě zde dopsal, ale jistě proběhne několik úprav.


A nyní se dostaneme k možnostem z druhé strany jak se dostat k vašim heslům. Druhou stranou je myšlen přístup od Vás.

Nejsnazší je sdílení účtů (dobrovolně dodány údaje). Zde nemá smysl cokoliv dodávat, snad jen to, že by se lidi divili co jsou schopni někteří udělat pro pár nul a jedniček.

Další možností je uhádnutí hesla. Zde se nejčastěji vykukové dostanou k údajů typem pokus omyl. Jistě se najde tento případ mezi vámi : Jméno postavy = jméno účtu = heslo. To jest první věc co vyzkouší útočník. A pokud přes toto projde, pak ano nedali jste nikomu údaje, ale absolutně jste neudělali nic pro jejich ochranu.

Dále zde máme možnost okoukání hesla : přihlašujete se na veřejném místě (knihovna, u kamaráda či u vás doma a kamarád stojí za zády). Čím častěji se přihlašujete, tím více má šancí heslo okoukat. Zde bohužel je problém s přehlašováním na jiné CH, kdy je nutno v launcheru znovu zadat údaje a tím dát novou možnost okoukání. Za toto se omlouváme, ale je to "nutnost ochrany".

Zábavnou částí jak přijít o účet jsou případy nazývané jako podvodné weby, slibující odměny na Váš účet. Ať už lépe či hůře tvořené s naší či bez naší grafiky. Pokud by od nás měla vzniknout taková to akce, tak bude vždy jen na našich stránkách. Nevím proč by jsme ji dávali na stránky poskytující "škaredé" domény třetího řádu.

Velmi podobnou kategorií jsou tzv. yang hacky, drop hacky, +9 hacky, trade hacky ap., které po Vás opět chtějí zadat Vaše jméno a heslo, které má zabezpečit funkčnost podvodu, ale místo toho jsou tyto údaje odeslány buď do hry, nebo na email, skype, icq .... atd.

Podobně na tom jsou tzv. keylogery. Tyto programy odchytávají to co píšete na klávesnici a jsou pak údaje odesílány útočníkovi. Tyto programy mohou být nabaleny na předchozí kategorii (takto si zabezpečí útočník přístup i k dalších účtům, na které se přihlásíte) či již na samotnou instalaci hry (proto vždy doporučujeme používat jen a pouze instalace uvedené na našem webu, které jsou "čisté". Co k nim přibalí jiní (ne vždy to tak musí být, ale neručíme za ně) to již nelze prověřovat.

A přicházíme k další variantě. Tou jsou programy pro správu na dálku. Kdy poskytnete možnost ovládat Váš počítač na dálku. Tuto schopnost má mnoho programů a mimo jiné také Skype (hojně využívaný). Kdy stačí, že máte tuto funkci povolenu (či vyžádánu) a útočník pak změní údaje přímo na vašem PC.

Další možností jak být okraden je, že budete hrát či přistupovat ke svému účtu na počítači, který je již některým výše uvedeným příkladem napaden. Čistotu počítače si například ve škole či knihovně nemáte kolikrát ani jak ověřit.

Stejné problémy se dají sepsat na téma bezpečnosti vašich emailu. Kde platí to samé a je to často opomíjeno. Například kombinace kdy je heslo shodné jak pro email tak pro účet.



Takže je třeba si dávat pozor kde, na čem či před kým se přihlašujete. Jak máte ochráněn počítač či přístupové údaje. A kdo všechno má k danému počítači přístup.

Nástrah na běžného hráče čeká mnoho, ale není v našich silách se o vaše PC postarat. My chráníme data jak je to jen z naší pozice možné. Zbytek záleží na Vás.

Další náměty klidně v diskuzi.

Edit 23:15 :
Ještě jedna připomínka, která se týká daného problému. Pokud někdo napíše tiket, ve kterém žádá údaje ke svému účtu, tak bohužel většinou narazí. V rámci ochrany osobních údajů, ke kterým jsme se ze zákona zavázali, nemůžeme poskytovat údaje třetím osobám. Franta Čahoun z Horní Dolní nemůže dostat informaci, na kterém účtu má postavu FrantaCahoun i kdyby byla jeho, když nenapíše na tiket z emailu, který patří k danému účtu atd.

_________________________________________________________
Reference:
HASH http://cs.wikipedia.org/wiki/Ha%C5%A1ovac%C3%AD_funkce
Typy hesel a SALT http://interval.cz/clanky/salted-hash-d ... zpecnosti/
SQL Injection http://cs.wikipedia.org/wiki/SQL_injection
[GA]Saggi
Ekura tým

Pokud máte nějaký problém, kontaktujte nás na http://www.ekura.cz/herni_ucet/support

Zamčeno

  • Nemáte právo psát zprávy v chatu.
@ Hakan « sob 12:41 pm »
@TomasFoxx :  Ok ok odpuštěno
@ TomasFoxx « sob 12:40 pm »
víc s pvpčkem nezvládnu sri
@ TomasFoxx « sob 12:40 pm »
@Hakan :  já mu dávám otravu🤷‍♂️
@ Hakan « sob 12:37 pm »
@TomasFoxx :  Ale ty nesekáš foxxi facepalm
@ TomasFoxx « sob 12:24 pm »
v tý eventovce by se mohl povolit buff všem, když už sekáme ty sněhuláky spolu :D
@ NemasZac « sob 10:24 am »
Přesně Ivi :)
@ Ivetka « sob 8:27 am »
Tady jsme na hře ne v politice.
@ Ivetka « sob 8:27 am »
Jop ale je svoboda slova, tak mi laskavě nemažte každou normální věc, kterou napíšu. Od toho tu to forko snad je. Fakt jsem vytočená z chovani některých lidí v týmu !!!!!
@ Mionix « sob 8:25 am »
@Ivetka :  Kdyby tu chtěli majitelé mít Dislike, tak už tu je. :-)
@ Ivetka « sob 8:24 am »
A napsala jsem , že by bylo dobre na forku zavest neco jako dislike , takže nevidim jedinej důvod proč mi to ten "člověk" smazal.
@ Mionix « sob 8:23 am »
@Ivetka :  To neposuzujete vy, ale GP. Jinak já tu zavedl daleko volnější pravidla, než tu do té doby byla. Trestáme v naprosto výjimečných situacích. Ovšem, aby si to někdo nevyložil po svém.
@ Ivetka « sob 8:20 am »
Já vim moc dobře kdo to udělal , proto to dal rozebíérat nebudu ten člověk tu nemá co delat
@ Mionix « sob 8:19 am »
@Ivetka :  Jestli v chatu, tak to opravdu nevidím. To nezaznamenává. Jen vy a moderátor ví, za co to bylo.
@ Ivetka « sob 8:05 am »
Příspěvěk zde , ale to je fuk tady se nikdy nic nezmění
@ Mionix « sob 7:14 am »
@Ivetka :  Netuším co a kde vám bylo smazáno? Nikde nic vašeho smazaného nevidím?
@ TomasFoxx « sob 2:23 am »
@NemasZac :  zalez
@ NemasZac « pát 11:42 pm »
anarchie!
@ JohnDoe « pát 10:26 pm »
technicky vzato bys tu neměl být, ale človek si hádam musí zvyknúť aj na tie čudné veci, pravda?
@ Lejno « pát 10:19 pm »
Sa čudujem, ze ste si este nezvykli 😂
@ JohnDoe « pát 10:10 pm »
demokracie je super, když si dva odhlasujou, že třetího zabijou a rozdělí si jeho statky... ale tady to holt musí fungovat, tak nějak líp :)
@ Ivetka « pát 10:06 pm »
A nevěděla jsem ,že se to tu řídí tím co chce vedení 😏 jinak bych vůbec nepsala , že bych chtěla nějaký tlačítko dislike :arrow: ale mohlo mě to napadnout.
@ Ivetka « pát 10:03 pm »
Nooo jde to z kopce jako s celým světem 😁
@ SamJsiLama « pát 10:02 pm »
@Kaenos :  🤣🤣🤣🤣
@ Ivetka « pát 10:01 pm »
Ta věta nedává smysl. Ale myslela jsem že odepíšes.
@ JohnDoe « pát 10:01 pm »
@Kaenos :  *chtěl ... @Ivetka :  já začal asi o rok později... byl to príma fanouškovský projekt, naštěstí se z něj podařilo udělat server, který vydrží dýl než počáteční nadšení
@ TomasFoxx « pát 9:58 pm »
@JohnDoe :  já jsem milej na všechny
@ Kaenos « pát 9:57 pm »
Kdyby tu někdo z vedení chtěl tlačítko "neděkuju / nelíbí se mě to" tak už tu dávno je. Snad vám to stačí jako odpověd.
@ Ivetka « pát 9:55 pm »
Hraju od založení serveru a vím jak se tu chovali k lidem dřív a jak teď
@ JohnDoe « pát 9:52 pm »
@TomasFoxx :  asi nejseš milej... @Ivetka :  když se na to za pár dní podíváš s odstupem, je to to nejlepší a nejrychlejší řešení... bývaly časy, kdy jsem tu prosazoval svobodu slova - bohužel si to pár lidí vyložilo po svém a dnes už si tu s nima nepokecáš, nebo mají nová jména
@ TomasFoxx « pát 9:43 pm »
@Ivetka :  proč mě nemáš ráda
@ Ivetka « pát 9:41 pm »
A mě je to jedno. Tady se vždy vše řeší jednoduše. Smazat at neotravuji. Zavřít hubu ať neotravuji
@ Ivetka « pát 9:39 pm »
Já ho ráda rozhodně nemám
@ JohnDoe « pát 9:36 pm »
ty seš oblíbená liška ... dostaneš max týden :)
@ JohnDoe « pát 9:35 pm »
těžko hádat, jestli budou rádi, ale nebylo by to poprvé, co někomu zavřou ústa, pokud k tomu sám zavdá důvod
@ TomasFoxx « pát 9:30 pm »
@Ivetka :  rip ja
@ Ivetka « pát 9:29 pm »
Jako klidné budu hlásit vše co se mi nelíbí to budou GM rádi
@ JohnDoe « pát 9:24 pm »
asi prevence :) nicméně, příspěvek můžeš nahlásit, pokud je závadný... samozřejmě můžeš i ve vlastním příspěvku, v rámci reakce, nesouhlasit... ale generický dislike? koho to zajímá?
@ TomasFoxx « pát 9:23 pm »
@Ivetka :  :crazy: :crazy: :crazy:
@ Ivetka « pát 9:18 pm »
Jako co mi to mažete? To už snad není tady normální ... myslím k tématům na forko ne tady v chatu :normal:
@ JohnDoe « pát 9:05 pm »
tucet vykřičníků = :down: ... tak něco?
@ JohnDoe « pát 8:41 pm »
@rudlaninja :  dej tomu rok dva, když se zamaká na AI, tak BOTi by válce jen přidali... už dneska by tam šlo udělat pár zajímavých překážek z agresivních mobů, ani by se nemuseli moc hýbat :)
@ Mionix « pát 8:30 pm »
@rudlaninja :  Njn, hráči mají zaplý event. Co s tím naděláme? Bohužel odstraňovat se nebudou, neb je na ně navázáno další pokračování eventu.
@ rudlaninja « pát 8:27 pm »
Noov dnesšní válce bylo Hugů víc jak válečníků :D
@ Mionix « pát 8:21 pm »
@ddavidd :  Myslím si jen na té postavě, ale ruku do ohně za to nedám. :-) Vyzkoušejte. Ale když na tím tak přemýšlím, tak z logiky věci by mělo být vypnutí, jen na dané postavě a ostatní postavy na účtu by to měly mít zapnuté.
@ ddavidd « pát 8:09 pm »
ked si vypnem event, vypne mi ho len na tej postave alebo na celom učte?
@ Mionix « pát 3:31 pm »
@qSTRoNgMANp :  Nn, kdykoliv to jde zas u strážce zapnout zpět. :)
@ qSTRoNgMANp « pát 3:13 pm »
@Mionix :  Vím, že se to dalo vypnout, ale vždy jsem se bál toho, že vypnu celej event a už to nezapnu. Proto jsem to nevypinal ... :)
@ Mionix « pát 3:12 pm »
@qSTRoNgMANp :  Dá se před válkou vypnout a po válce zapnout u Strážce města.
@ qSTRoNgMANp « pát 3:10 pm »
@Pajik :  Rovnou at i odhazuij co ? :D
@ qSTRoNgMANp « pát 3:09 pm »
@Mionix :  On se dá vypnout a opětovně vypnout ten event ?
@ TomasFoxx « pát 2:09 pm »
@Pajik :  vem si jak to ale oslabuje třeba archera :D chudák pulku toho plošnýho kouzla narve do sněhuláků :D
@ Pajik « pát 2:07 pm »
Já bych jich tam dal ještě víc :D aspoň nějaké zpestření té války
@ Mionix « pát 2:00 pm »
A propo, ruku do ohně za to nedám, ale kdyby si všichni účastníci války vypnuli na tu hodinu event, tak by měl být klid. Ale to už je na vás na hráčích. :-)
@ qSTRoNgMANp « pát 11:55 am »
Hugoušové jsou top ve válce, pokud jsou v chumlu, tak přes ně spelluju :DD
@ TomasFoxx « pát 11:53 am »
saggi se asi snaží o žádný dárky tento rok😡😂
@ Mionix « pát 11:45 am »
@WinterWish :  Rozhodnutí GA.
@ Lejno « pát 10:49 am »
@WinterWish :  aby si si mohla dropnut darecky, lebo ine nedostanes muhaha
@ TomasFoxx « pát 10:37 am »
@WinterWish :  ve válkách byli vždycky😂 jen včera jich bylo fakt moc
@ WinterWish « pát 10:33 am »
@Mionix :  Mohla bych vědět důvod? Já jen, že předchozí roky ve valkach nikdy nebyli, a přišlo mi to včera dost otravný, pletou se pod nohy a naklikavam je místo hráčů.. to už se mohli ve válkách nechat i dýňáci a duchové smrti
@ Mionix « pát 9:53 am »
Tak Hugové se z války odebírat nebudou.

Kdo chatuje

offline Aylia 
offline ImHardy 
offline Mionix 
offline Raveon 
offline Relly 
offline Rennie 
offline Smajlicka 
offline TomasFoxx