Bezpečnost vašich údajů a hesel

Informace o vybraných událostech ve hře. Pro kompletní informace o novinkách sledujte web.
Užitečné odkazy: Pravidla, Seznam změn, Tým Ekura
Zamčeno
Uživatelský avatar
Saggitarius
Zakladatel tématu
Game Administrator
Game Administrator
Příspěvky: 1261
Registrován: sob 01. kvě 2010 14:53:16
Poděkoval:
Má poděkování: 2901×

Bezpečnost vašich údajů a hesel

Příspěvek od Saggitarius » pát 11. lis 2011 23:00:06

Občas se objeví téma či tiket, který tvrdí, že nikdy nikomu nedal údaje k přihlášení a stejně byl vykraden. Proto vzniká toto téma, jako taková ukázka jak se lze k heslům dostat.


Jak jsou tedy data a hlavně tedy hesla na sindicate zabezpečena ?

Takže, nejprve je zde hardware ochrana.

Databáze je chráněna firewalem, který zamezí přístupu každému, kdo se nepřipojuje z jednoho ze 3 PC.
1 z nich je web (sindicate), zbylé 2 jsou IP adresy našich PC.
Kdyby se však stala chyba a dokázal by někdo prolomit hardwarový firewall (například jiný web na stejném PC v rámci hostingu), je nutno se prokázat přístupovým heslem. Kdy každý i správný přístup je monitorován. Ještě se doteď ale nestalo, že by přes firewall někdo prošel.
Stejným způsobem je chráněn přístup k serveru jako takovému. A tak se na daný PC nedá přihlásit bez hesla a kontroly IP adresy. Kde by někdo měl přístup k fyzické databázi.

Druhou stránkou je software ochrana.
Hesla v databázi k jednotlivým účtům jsou v databázi zahashována pomocí funkce známé jako HASH.
Viz reference na konci příspěvku.
Z wiki je patrné, že HASH se dá velmi obtížně dekódovat (restaurovat) Lze jej maximálně tak uhádnout.
Firma ORACLE, která vytvořila mimo jiných databázový systém MySQL, si pečlivě výpočet a kódování svých hesel střeží.
Na našem systému je navíc zvýšená ochrana hesel a to přidáním do hesel tzv. SALT viz reference.
Takže i kdyby někdo přešel přes první část tohoto příspěvku až k heslům, čekal by jej vcelku nadlidský úkol. Zde by bylo pro útočníka snazší si upravit svou vlastní postavu/účet než se "babrat" s heslem cizího účtu.

Druhá možnost jak se dostat k surovým datům v databázi je výpis přes tzv SQL Injektáž viz reference.
Zde je však ochrana skripty, které zastaví takovéto pokusy. Ještě vyšší ochrany se dosáhlo zákazem používat speciální znaky ve všech formulářích, které se odkazují do databáze. (Již před tímto krokem však byly chráněny jinými skripty, jen se přešlo na nové účinnější).

Prozatím si nevzpomenu co bych ještě zde dopsal, ale jistě proběhne několik úprav.


A nyní se dostaneme k možnostem z druhé strany jak se dostat k vašim heslům. Druhou stranou je myšlen přístup od Vás.

Nejsnazší je sdílení účtů (dobrovolně dodány údaje). Zde nemá smysl cokoliv dodávat, snad jen to, že by se lidi divili co jsou schopni někteří udělat pro pár nul a jedniček.

Další možností je uhádnutí hesla. Zde se nejčastěji vykukové dostanou k údajů typem pokus omyl. Jistě se najde tento případ mezi vámi : Jméno postavy = jméno účtu = heslo. To jest první věc co vyzkouší útočník. A pokud přes toto projde, pak ano nedali jste nikomu údaje, ale absolutně jste neudělali nic pro jejich ochranu.

Dále zde máme možnost okoukání hesla : přihlašujete se na veřejném místě (knihovna, u kamaráda či u vás doma a kamarád stojí za zády). Čím častěji se přihlašujete, tím více má šancí heslo okoukat. Zde bohužel je problém s přehlašováním na jiné CH, kdy je nutno v launcheru znovu zadat údaje a tím dát novou možnost okoukání. Za toto se omlouváme, ale je to "nutnost ochrany".

Zábavnou částí jak přijít o účet jsou případy nazývané jako podvodné weby, slibující odměny na Váš účet. Ať už lépe či hůře tvořené s naší či bez naší grafiky. Pokud by od nás měla vzniknout taková to akce, tak bude vždy jen na našich stránkách. Nevím proč by jsme ji dávali na stránky poskytující "škaredé" domény třetího řádu.

Velmi podobnou kategorií jsou tzv. yang hacky, drop hacky, +9 hacky, trade hacky ap., které po Vás opět chtějí zadat Vaše jméno a heslo, které má zabezpečit funkčnost podvodu, ale místo toho jsou tyto údaje odeslány buď do hry, nebo na email, skype, icq .... atd.

Podobně na tom jsou tzv. keylogery. Tyto programy odchytávají to co píšete na klávesnici a jsou pak údaje odesílány útočníkovi. Tyto programy mohou být nabaleny na předchozí kategorii (takto si zabezpečí útočník přístup i k dalších účtům, na které se přihlásíte) či již na samotnou instalaci hry (proto vždy doporučujeme používat jen a pouze instalace uvedené na našem webu, které jsou "čisté". Co k nim přibalí jiní (ne vždy to tak musí být, ale neručíme za ně) to již nelze prověřovat.

A přicházíme k další variantě. Tou jsou programy pro správu na dálku. Kdy poskytnete možnost ovládat Váš počítač na dálku. Tuto schopnost má mnoho programů a mimo jiné také Skype (hojně využívaný). Kdy stačí, že máte tuto funkci povolenu (či vyžádánu) a útočník pak změní údaje přímo na vašem PC.

Další možností jak být okraden je, že budete hrát či přistupovat ke svému účtu na počítači, který je již některým výše uvedeným příkladem napaden. Čistotu počítače si například ve škole či knihovně nemáte kolikrát ani jak ověřit.

Stejné problémy se dají sepsat na téma bezpečnosti vašich emailu. Kde platí to samé a je to často opomíjeno. Například kombinace kdy je heslo shodné jak pro email tak pro účet.



Takže je třeba si dávat pozor kde, na čem či před kým se přihlašujete. Jak máte ochráněn počítač či přístupové údaje. A kdo všechno má k danému počítači přístup.

Nástrah na běžného hráče čeká mnoho, ale není v našich silách se o vaše PC postarat. My chráníme data jak je to jen z naší pozice možné. Zbytek záleží na Vás.

Další náměty klidně v diskuzi.

Edit 23:15 :
Ještě jedna připomínka, která se týká daného problému. Pokud někdo napíše tiket, ve kterém žádá údaje ke svému účtu, tak bohužel většinou narazí. V rámci ochrany osobních údajů, ke kterým jsme se ze zákona zavázali, nemůžeme poskytovat údaje třetím osobám. Franta Čahoun z Horní Dolní nemůže dostat informaci, na kterém účtu má postavu FrantaCahoun i kdyby byla jeho, když nenapíše na tiket z emailu, který patří k danému účtu atd.

_________________________________________________________
Reference:
HASH http://cs.wikipedia.org/wiki/Ha%C5%A1ovac%C3%AD_funkce
Typy hesel a SALT http://interval.cz/clanky/salted-hash-d ... zpecnosti/
SQL Injection http://cs.wikipedia.org/wiki/SQL_injection
[GA]Saggi
Ekura tým

Pokud máte nějaký problém, kontaktujte nás na http://www.ekura.cz/herni_ucet/support

Zamčeno

  • Nemáte právo psát zprávy v chatu.
@ Acheron « sob 11:45 pm »
Chá chá foxxovi asi ruply dýky na +9 :lol:
@ pikasek « sob 11:08 pm »
@qSTRoNgMANp :  Mě zabíjel vždycky :lol: :lol: a války už nechodím, tak co :lol:
@ Borda91 « sob 11:07 pm »
@qSTRoNgMANp :  :D
@ qSTRoNgMANp « sob 10:48 pm »
@pikasek :  Odted tě bude zabíjet pohledem
@ pikasek « sob 10:39 pm »
@TomasFoxx :  Co ty,jak se máš ? A proč máš bloknuté pmko ? :think: :lol: :lol: :lol:
@ Mionix « sob 8:07 pm »
@JohnDoe :  Tak to jsou opravy nepřesností v prvotním návrhu. Tak že jak to kluci editují, dělají to správně. :) Ale zaslouží si oba pochvalu. Krásné návody. :up: :clap:
@ JohnDoe « sob 7:40 pm »
nebo někdo jiný :) ale ano, pokud nechceš aby prvotní příspěvek (dočasně) zmizel, tak dávej upřesnění do dalšího... u návodů ti asi postih za doublepost akutně nehrozí
@ Mionix « sob 7:11 pm »
@schvarz :  Je to tak, pokud to editnete a znova odešlete, tak pro hráče zmizí, než já opět schválím. :)
@ Hakan « sob 6:12 pm »
@Mionix :  :sheriff: :sheriff:
@ schvarz « sob 5:36 pm »
@Mionix :  No to dá rozum, ale ten návod po tý mojí úpravě prostě zmizel a nebyl vidět, dokud zase nebyl schválen, to mě překvapilo :D
@ Mionix « sob 5:28 pm »
@schvarz :  Každý návod se musí schvalovat z naší strany. Včetně oprav.
@ schvarz « sob 4:37 pm »
Já jsem upravil svůj návod a on zmizel? :O To je jako neviditelný, když to čeká na úpravu?
@ disaster1591 « sob 11:10 am »
Aj magice ti tam chybaju sa mi zda, inak pekny navod :up:
@ SamJsiLama « sob 10:43 am »
:omg:
@ Hakan « sob 9:53 am »
+4, +5, +6 pak dopíšu
@ pikasek « sob 9:53 am »
@Lejno :  Padají tam +4,+5 i +6
@ Lejno « sob 9:34 am »
@Hakan :  v tom návodu, ak sa nemýlim, pri dropu z meteorov nie su kameny+4 ale +6, ci 😅
@ Hakan « sob 3:13 am »
@TomasFoxx :  to mohl no :lol: úplně jsem zapomenul jak jsem čekal dlouho páč jsem na něj furt klikal 😂 ale nebyl jsem si jistý zda se to čekání restartuje či prodlužuje případně o kolik
@ Hakan « sob 3:10 am »
@pikasek :  diky díky. No já a videa to nejde moc k sobě :lol: ale kdyby někdo nějaké udělal rád přidám
@ JohnDoe « pát 10:51 pm »
návod se dá doladit vždycky, ale taky ho musí někdo nejdřív napsat... a tenhle se Hakanovi povedl :clap:
@ TomasFoxx « pát 10:07 pm »
@Hakan :  taky bys tam mohl ještě doplnit tu malou informaci o prodloužení když se klikne znovu na archeologa :D
@ SamJsiLama « pát 8:30 pm »
:think:
@ Mionix « pát 8:25 pm »
:hello:
@ Ivetka « pát 8:20 pm »
:whistle:
@ Raveon « pát 8:16 pm »
:sheriff:
@ Lacius « pát 8:10 pm »
:think:
@ Mionix « pát 7:48 pm »
@pikasek :  @Hakan :  Tak to ničemu nepřekáží, to lze editnout a dodat. Stačí předělat, a já schválím.
@ pikasek « pát 7:23 pm »
@Hakan :  Super další návod :clap: Měl si dát vědět, mohl si tam hodit i nějaké video ze Selase nebo z metinů :hello:
@ L0GAN « pát 7:17 pm »
@Hakan :  :clap: :clap:
@ cleo « pát 6:49 pm »
@Hakan :  díky, konečně se tam vyznám a opravdu pěkně zpracované:D
@ Mionix « pát 6:38 pm »
@Hakan :  Jinak pán si zaslouží pochvalu před nastoupenou jednotkou. Foxi pozor a salutovat. :-)
@ TomasFoxx « pát 6:09 pm »
@Hakan :  nnn, na 100% to bylo v tý drbárně :D
@ Hakan « pát 5:48 pm »
@TomasFoxx :  Já jsem to taky někde hledal ale pak jsem si říkal zda to nebylo jen v chatu :D
@ TomasFoxx « pát 5:47 pm »
@Hakan :  když pohledáš v drbárně tak tam najdeš screeny z dropu meteorů i selase, vím že jsme to tam dávali jen se mi to nechce hledat😂
@ schvarz « pát 5:19 pm »
Existuje nějakej nástroj nebo návod nebo zveřejněný vzorec na výpočet poškození podle mých statistik? Konkrétně se snažím zjistit, když budu mít korál s prumkou 40 a 20% silným proti rase, tak jakou potřebuju prumku + 10% silným proti rase, aby to vycházelo cca stejně... :D
@ Mionix « pát 5:03 pm »
@Neves :  29.11. jsem to psal a nebojte se dočkáte se 29.1. já se za nic stydět nemusím. Dostal jsem nějaké informace, ty jsem vám poskytl. Nebyly naplněny. Já s tím nic nezmohu a proto se omluvím všem.
@ beniamino « pát 4:55 pm »
A ze zrovna hura do chizfen...divny 😁😁
@ Sophya « pát 4:51 pm »
:omg:
@ Hakan « pát 4:50 pm »
Takové pobuřování
@ TomasFoxx « pát 4:41 pm »
https://ctrlv.cz/ZNkj F in the chat for NeverRun
@ Hakan « pát 3:30 pm »
sry jsem v aréně :lol:
@ Neves « pát 3:16 pm »
Len tak pre info už je mesiac po vianociach :clap:
@ Lejno « pát 3:03 pm »
Aby sa urobila reklama k updatu, koľko ľudí tu ešte zostalo 🤣 ciiiiiii?
@ TomasFoxx « pát 2:57 pm »
@Kaenos :  k čemu to je dobry?
@ Kaenos « pát 2:50 pm »
Dnes v 18:00 se na Hoře Sohan u Ledové královny bude pořádat focení. Budeme rádi, když si nezapomenete také vzít proměny na sněhuláka nebo Santu. :heart: :heart:
@ disaster1591 « pát 1:54 pm »
@pikasek :  ja uz som konstruktivnych navrhov a pripomienok napisal dost, po tom co ich tym v podstate hned zamietol uz nemam chut tu nieco pripomienkovat ani navrhovat :roll:
@ cleo « pát 1:47 pm »
@pikasek : :clap:
@ pikasek « pát 12:41 pm »
@disaster1591 :  no jo,když všichni pořád jenom rypete ale neumíte napsat nic konstruktivního,tak se toho někdo musí chytit 🤷
@ disaster1591 « pát 12:10 pm »
Pravda :think:
@ pikasek « pát 11:53 am »
@Mionix :  Super,děkuji za info 🙂 a proč tam toto není napsané,aby se hráči nemuseli ptát a vy se nemuseli dívat na takové otázky ? Bohužel chybí nějaká informovanost,např o tom co se děje,popř jestli se něco děje,naprosto by stačilo něco takového napsat , a ušetří se vám ty uštěpačné poznámky
@ ZbojniX « pát 11:26 am »
uz som zabudol...na aky update sa vlastne caka? Nato s cim suviselo zatvorenie risi?
@ Lejno « pát 10:48 am »
Samuel Beckett - Čakanie na Godota
@ Lejno « pát 10:47 am »
@Mionix :  nic v zlom, ale nemôžete čakať dôveru od hráčov ohladom updatu po tych mesiach 🤣
@ Mionix « pát 9:46 am »
@Neves :  To píšete vy a netuším, čím to máte podložené. Napadá mě jediná věc, odkud čerpáte informace a máte takové povědomí, co bude a co ne. Vy sám jste asi GA. :-)
@ Neves « pát 9:28 am »
super takže najbližší rok sa môžu údržby zrušiť
@ Mionix « pát 8:57 am »
@pikasek :  Nic se nepřidává, neb toho má GA již rozdrbaného mnoho a do finálního naprogramování asi se již nic měnit nebude. Co jsem tak pochpopil, tak má rozprogramované věci v jádru hry a nezle tím pádem nic jiného měnit. Dokud se to celé nenasadí. Ale možná se pletu.
@ Lejno « čtv 10:51 pm »
Asi ziadne neboli 🤣 ale opäť pripomínam, bude jeden gigantický intergalakticky UPDATE, takze nie je kedy písať zoznam xd
@ pikasek « čtv 10:42 pm »
@Mionix :  Ony už se nepíšou ani seznamy změn ? :think:
@ Ivetka « čtv 4:37 pm »
:roll:
@ pikasek « čtv 10:46 am »
@TomasFoxx :  okej okej :D

Kdo chatuje

offline Heana 
offline JamesDay 
offline Mionix 
offline RAMHH 
offline Relly 
offline Welkin