Bezpečnost vašich údajů a hesel

Informace o vybraných událostech ve hře. Pro kompletní informace o novinkách sledujte web.
Užitečné odkazy: Pravidla, Seznam změn, Tým Ekura
Zamčeno
Uživatelský avatar
Saggitarius
Zakladatel tématu
Game Administrator
Game Administrator
Příspěvky: 1266
Registrován: sob 01. kvě 2010 14:53:16
Poděkoval:
Má poděkování: 2955×

Bezpečnost vašich údajů a hesel

Příspěvek od Saggitarius » pát 11. lis 2011 23:00:06

Občas se objeví téma či tiket, který tvrdí, že nikdy nikomu nedal údaje k přihlášení a stejně byl vykraden. Proto vzniká toto téma, jako taková ukázka jak se lze k heslům dostat.


Jak jsou tedy data a hlavně tedy hesla na sindicate zabezpečena ?

Takže, nejprve je zde hardware ochrana.

Databáze je chráněna firewalem, který zamezí přístupu každému, kdo se nepřipojuje z jednoho ze 3 PC.
1 z nich je web (sindicate), zbylé 2 jsou IP adresy našich PC.
Kdyby se však stala chyba a dokázal by někdo prolomit hardwarový firewall (například jiný web na stejném PC v rámci hostingu), je nutno se prokázat přístupovým heslem. Kdy každý i správný přístup je monitorován. Ještě se doteď ale nestalo, že by přes firewall někdo prošel.
Stejným způsobem je chráněn přístup k serveru jako takovému. A tak se na daný PC nedá přihlásit bez hesla a kontroly IP adresy. Kde by někdo měl přístup k fyzické databázi.

Druhou stránkou je software ochrana.
Hesla v databázi k jednotlivým účtům jsou v databázi zahashována pomocí funkce známé jako HASH.
Viz reference na konci příspěvku.
Z wiki je patrné, že HASH se dá velmi obtížně dekódovat (restaurovat) Lze jej maximálně tak uhádnout.
Firma ORACLE, která vytvořila mimo jiných databázový systém MySQL, si pečlivě výpočet a kódování svých hesel střeží.
Na našem systému je navíc zvýšená ochrana hesel a to přidáním do hesel tzv. SALT viz reference.
Takže i kdyby někdo přešel přes první část tohoto příspěvku až k heslům, čekal by jej vcelku nadlidský úkol. Zde by bylo pro útočníka snazší si upravit svou vlastní postavu/účet než se "babrat" s heslem cizího účtu.

Druhá možnost jak se dostat k surovým datům v databázi je výpis přes tzv SQL Injektáž viz reference.
Zde je však ochrana skripty, které zastaví takovéto pokusy. Ještě vyšší ochrany se dosáhlo zákazem používat speciální znaky ve všech formulářích, které se odkazují do databáze. (Již před tímto krokem však byly chráněny jinými skripty, jen se přešlo na nové účinnější).

Prozatím si nevzpomenu co bych ještě zde dopsal, ale jistě proběhne několik úprav.


A nyní se dostaneme k možnostem z druhé strany jak se dostat k vašim heslům. Druhou stranou je myšlen přístup od Vás.

Nejsnazší je sdílení účtů (dobrovolně dodány údaje). Zde nemá smysl cokoliv dodávat, snad jen to, že by se lidi divili co jsou schopni někteří udělat pro pár nul a jedniček.

Další možností je uhádnutí hesla. Zde se nejčastěji vykukové dostanou k údajů typem pokus omyl. Jistě se najde tento případ mezi vámi : Jméno postavy = jméno účtu = heslo. To jest první věc co vyzkouší útočník. A pokud přes toto projde, pak ano nedali jste nikomu údaje, ale absolutně jste neudělali nic pro jejich ochranu.

Dále zde máme možnost okoukání hesla : přihlašujete se na veřejném místě (knihovna, u kamaráda či u vás doma a kamarád stojí za zády). Čím častěji se přihlašujete, tím více má šancí heslo okoukat. Zde bohužel je problém s přehlašováním na jiné CH, kdy je nutno v launcheru znovu zadat údaje a tím dát novou možnost okoukání. Za toto se omlouváme, ale je to "nutnost ochrany".

Zábavnou částí jak přijít o účet jsou případy nazývané jako podvodné weby, slibující odměny na Váš účet. Ať už lépe či hůře tvořené s naší či bez naší grafiky. Pokud by od nás měla vzniknout taková to akce, tak bude vždy jen na našich stránkách. Nevím proč by jsme ji dávali na stránky poskytující "škaredé" domény třetího řádu.

Velmi podobnou kategorií jsou tzv. yang hacky, drop hacky, +9 hacky, trade hacky ap., které po Vás opět chtějí zadat Vaše jméno a heslo, které má zabezpečit funkčnost podvodu, ale místo toho jsou tyto údaje odeslány buď do hry, nebo na email, skype, icq .... atd.

Podobně na tom jsou tzv. keylogery. Tyto programy odchytávají to co píšete na klávesnici a jsou pak údaje odesílány útočníkovi. Tyto programy mohou být nabaleny na předchozí kategorii (takto si zabezpečí útočník přístup i k dalších účtům, na které se přihlásíte) či již na samotnou instalaci hry (proto vždy doporučujeme používat jen a pouze instalace uvedené na našem webu, které jsou "čisté". Co k nim přibalí jiní (ne vždy to tak musí být, ale neručíme za ně) to již nelze prověřovat.

A přicházíme k další variantě. Tou jsou programy pro správu na dálku. Kdy poskytnete možnost ovládat Váš počítač na dálku. Tuto schopnost má mnoho programů a mimo jiné také Skype (hojně využívaný). Kdy stačí, že máte tuto funkci povolenu (či vyžádánu) a útočník pak změní údaje přímo na vašem PC.

Další možností jak být okraden je, že budete hrát či přistupovat ke svému účtu na počítači, který je již některým výše uvedeným příkladem napaden. Čistotu počítače si například ve škole či knihovně nemáte kolikrát ani jak ověřit.

Stejné problémy se dají sepsat na téma bezpečnosti vašich emailu. Kde platí to samé a je to často opomíjeno. Například kombinace kdy je heslo shodné jak pro email tak pro účet.



Takže je třeba si dávat pozor kde, na čem či před kým se přihlašujete. Jak máte ochráněn počítač či přístupové údaje. A kdo všechno má k danému počítači přístup.

Nástrah na běžného hráče čeká mnoho, ale není v našich silách se o vaše PC postarat. My chráníme data jak je to jen z naší pozice možné. Zbytek záleží na Vás.

Další náměty klidně v diskuzi.

Edit 23:15 :
Ještě jedna připomínka, která se týká daného problému. Pokud někdo napíše tiket, ve kterém žádá údaje ke svému účtu, tak bohužel většinou narazí. V rámci ochrany osobních údajů, ke kterým jsme se ze zákona zavázali, nemůžeme poskytovat údaje třetím osobám. Franta Čahoun z Horní Dolní nemůže dostat informaci, na kterém účtu má postavu FrantaCahoun i kdyby byla jeho, když nenapíše na tiket z emailu, který patří k danému účtu atd.

_________________________________________________________
Reference:
HASH http://cs.wikipedia.org/wiki/Ha%C5%A1ovac%C3%AD_funkce
Typy hesel a SALT http://interval.cz/clanky/salted-hash-d ... zpecnosti/
SQL Injection http://cs.wikipedia.org/wiki/SQL_injection
[GA]Saggi
Ekura tým

Pokud máte nějaký problém, kontaktujte nás na http://www.ekura.cz/herni_ucet/support

Zamčeno

  • Nemáte právo psát zprávy v chatu.
@ TomasFoxx « pon 10:59 pm »
@pikasek :  ještě s tim pvpčkem co má, koukat pak jak healer s výbavou za 100kkk dá klidně 600 a kdčko má 10 😂
@ TomasFoxx « pon 10:58 pm »
@pikasek :  proč myslíš že mevrik války nechodí? 😂 Taky ho to nebaví, dávat 400-500cb a mít kd 1
@ pikasek « pon 10:20 pm »
@TomasFoxx :  Mevrik by vás hnal, kdyby toto viděl :fight:
@ TomasFoxx « pon 10:14 pm »
s tim jak je hra "vyvazena" se to proste nevyplati😂
@ TomasFoxx « pon 10:14 pm »
jakoze to neni nic proti lejnovi, tak to maj vsichni daggeri co kdy zkusili sepku, vcetne me 😂 nebejt bolestek tak toho daggera nejspis nehraju
@ Borda91 « pon 9:42 pm »
@TomasFoxx :  :lol:
@ Hakan « pon 8:51 pm »
True Story :cry:
@ TomasFoxx « pon 8:44 pm »
dodela schopky, chvili je vezme, pak jednou chytne nerva jak mu kazdej vyzira a on jen dostava zruska a umira (#zivotdaggera) a pujde zpatky k sepce 😂
@ TomasFoxx « pon 8:44 pm »
@Hakan :  on nikdy, sepka je jeho life
@ Hakan « pon 8:43 pm »
Slíbil že odloží sépku :whistle: :lol: :lol:
@ TomasFoxx « pon 8:43 pm »
je to jen vtip jj dont ban me
@ TomasFoxx « pon 8:42 pm »
@Hakan :  lejno to podplatil urcite😡😂
@ Hakan « pon 8:39 pm »
@TomasFoxx :  Hodnotitelé se na nás domluvili :ts:
@ TomasFoxx « pon 8:38 pm »
@Hakan :  presne, kdyz uz nikdy nevyhraju tu hudebku tak aspon takhle😂
@ Hakan « pon 8:35 pm »
Výhra jako výhra nee? :think: :lol:
@ Mionix « pon 7:56 pm »
@TomasFoxx :  Není o co stát :lol:
@ TomasFoxx « pon 7:44 pm »
@Mionix :  mmm ban jsem jeste nikdy nevyhral
@ Mionix « pon 6:28 pm »
@UrbisCZE :  Pokud bych něco takového zjistil, tak soutěžící obdrží odměnu, ale v podobě BANu na forum na oba účty.
@ Mionix « pon 6:27 pm »
@Hakan :  :up:
@ UrbisCZE « pon 5:50 pm »
aha :D chtěl jsem pro buffku
@ Hakan « pon 5:48 pm »
Nemůžeš mít 2 účty na fórku :think:
@ UrbisCZE « pon 5:41 pm »
2 básničky 2 odměny ne? :D
@ UrbisCZE « pon 5:41 pm »
mionix je povoleno soutěžit s druhou básničkou na druhém účtu? :D
@ qSTRoNgMANp « pon 4:53 pm »
@Mionix :  Díky, jen mě to napadlo, protože ta mám 3x svůj PC a 3x pracovní ntb. :) jako jenom mi to ušetří 5 min na jeden účet, nic hrozného, ale přeci jen.
@ Mionix « pon 4:49 pm »
@qSTRoNgMANp :  Dal jsem GA k posouzení.
@ qSTRoNgMANp « pon 4:47 pm »
@TÝM nedalo by se udělat zaškrtávatko v secure mode jaké přístupy mužu smazat na jeden mail ?
@ TomasFoxx « pon 2:07 pm »
@Hakan :  ty radši mákni s tou básničkou😂
@ Hakan « pon 1:59 pm »
@TomasFoxx :  Nz
@ UrbisCZE « pon 1:59 pm »
Kolik stojí zahradnické povolení pls? zapomněl jsem to :D
@ TomasFoxx « pon 1:56 pm »
@Epari :  jo to jsem přesně chtěl vědět, díky 😂
@ MoravskyPepin « pon 1:09 pm »
@Mithra :  Asi nebylo spojení "na odiv" správně zvoleno. :think: :think: I když mi to pořád připadá jako trestání exhibicionisty tím, že ho nahého vystavíte třeba na náměstí. Jak říkáš je to věc Týmu, nechám to být :ignor:
@ SPATNEJ « pon 12:43 pm »
Do kdy se planuje event prosim? Dekuji za odpoved
@ Mithra « pon 12:39 pm »
@MoravskyPepin :  To s tím určitě nesouvisí. Pranýř není zrovna místo, kde by se cokoliv vystavovalo "na odiv".
@ MoravskyPepin « pon 10:58 am »
@Mithra :  Tak spíš jsem přemýšlel nad tím, jestli onen větší výskyt nevhodně pojmenovaných hráčů nemůže souviset i s faktem, že jsou vystavení na odiv. Nikdo nezpochybňuje že je to prohřešek, ale řešení mi nepřipadá úplně šťastné
@ Epari « pon 10:34 am »
@TomasFoxx :  Mně se spawnovaly 150 už od 101
@ Mithra « pon 10:25 am »
MoravskyPepin píše: By mě zajímal názor týmu na to vyvěšování těch nevhodných jmen na pranýři, jestli to není lepší banovat bez vystavování na webu
A co se ti na tom nezdá? Je to přestupek jako každý jiný. Navíc názor teamu je myslím zcela zřejmý. Kdyby to na pranýři mít nechtěli, tak to tam nenajdeš.
@ MoravskyPepin « pon 10:18 am »
By mě zajímal názor týmu na to vyvěšování těch nevhodných jmen na pranýři, jestli to není lepší banovat bez vystavování na webu
@ rudlaninja « pon 7:54 am »
@TomasFoxx :  110 už padá 150 vejce a v hradě po hodině bylo tuším 8-9 vajíček,takže si jich můžeš naskládat víc
@ Alkoholik « pon 6:21 am »
ma grilovany shiri cenu?
@ Psicek « pon 3:45 am »
více vajíček se spawnout může, ke konci pomlázky jsem ničil pořád dál, abych ji využil a vejce jsem ničil až po limitu :)
@ TomasFoxx « pon 2:44 am »
a může se mi spawnout víc jak 1 vejce najednou?
@ TomasFoxx « pon 2:41 am »
jinak nevíte od jakýho lvlu se mi spawne vajco lvl 150?
@ TomasFoxx « pon 2:41 am »
@Beer98 :  tak ten virtuální svět tolik neprožívej?😂
@ Beer98 « pon 1:45 am »
@TomasFoxx : nie každý žije vo virtuálnom svete😏
@ Epari « pon 1:20 am »
Může mi někdo vysvětlit ten smysl přeházení věcí v Black marketu? Hledání nějakýho šeku je vážně pain :D
@ TomasFoxx « pon 1:00 am »
@Beer98 :  tak jsi tu měl první den bejt, tvoje smůla
@ Beer98 « pon 12:14 am »
Ja bych napríklad chtel slepici na 90 dní a rovnaký drop ako bol prvý deň eventu. Predsa aj ja si chcem nadropit bomby ako ostatný 😏
@ Kaenos « pon 12:00 am »
@TomasFoxx :  :what: :heart:
@ TomasFoxx « ned 11:58 pm »
ten první den se to sice trošku nezvládlo no, ale tak všichni jsme lidi a děláme chyby
@ TomasFoxx « ned 11:58 pm »
jestli tohle lidem nepřijde jako dobrý spestření hry tak už fakt nevím co po tom teamu chtějí😂
@ SPATNEJ « ned 11:31 pm »
Taky se přidám . Lvl 59 2h drop na vejcích. Vejce za 6 min dole. Drop: 200KK, 90 toček, 3x perg válečníka,1x kuře, 70x požehnání draka a života,4x náčelník, 1x povolení k vylepšní.
@ disaster1591 « ned 11:21 pm »
My sme dnes boli s kolegom HGcka, obidvaja sme mali aktivovane pomlazky+drop vybavy a zlodejky so sebou. Za 3HG cez 10 nacelnikov hadam aj cez 100pozehov, magice,pergy valecnika,tak cca 10kritikov, zacarka. Myslim si ze drop je viac nez dobry ;)
@ I3ananos « ned 7:51 pm »
To já mám teda extrémní smůlu xD
@ qSTRoNgMANp « ned 7:51 pm »
@Mionix :  Dobře dobře. :) tak asi mam smůlu no :)
@ Mionix « ned 7:50 pm »
@qSTRoNgMANp :  Drop kraslic byl také maličko upraven, ale opravdu jen v řádu %. Drop je nastaven stále velice slušný.
@ I3ananos « ned 7:50 pm »
To už je taky celkem číslo ale no :D
@ qSTRoNgMANp « ned 7:50 pm »
@TheStaReK :  A hlavne proš sekat 150, když se musi spawnovat 100 ? :)
@ qSTRoNgMANp « ned 7:49 pm »
@I3ananos :  Taky mi připadá, ale uvidime, zatim jedna z asi 20 - 25 :)

Kdo chatuje