Bezpečnost vašich údajů a hesel

Informace o vybraných událostech ve hře. Pro kompletní informace o novinkách sledujte web.
Užitečné odkazy: Pravidla, Seznam změn, Tým Ekura
Zamčeno
Uživatelský avatar
Saggitarius
Game Administrator
Game Administrator
Příspěvky: 1146
Registrován: sob 01. kvě 2010 14:53:16
Dal poděkování: 8 poděkování
Dostal poděkování: 2822 poděkování

Bezpečnost vašich údajů a hesel

Příspěvek od Saggitarius » pát 11. lis 2011 23:00:06

Občas se objeví téma či tiket, který tvrdí, že nikdy nikomu nedal údaje k přihlášení a stejně byl vykraden. Proto vzniká toto téma, jako taková ukázka jak se lze k heslům dostat.


Jak jsou tedy data a hlavně tedy hesla na sindicate zabezpečena ?

Takže, nejprve je zde hardware ochrana.

Databáze je chráněna firewalem, který zamezí přístupu každému, kdo se nepřipojuje z jednoho ze 3 PC.
1 z nich je web (sindicate), zbylé 2 jsou IP adresy našich PC.
Kdyby se však stala chyba a dokázal by někdo prolomit hardwarový firewall (například jiný web na stejném PC v rámci hostingu), je nutno se prokázat přístupovým heslem. Kdy každý i správný přístup je monitorován. Ještě se doteď ale nestalo, že by přes firewall někdo prošel.
Stejným způsobem je chráněn přístup k serveru jako takovému. A tak se na daný PC nedá přihlásit bez hesla a kontroly IP adresy. Kde by někdo měl přístup k fyzické databázi.

Druhou stránkou je software ochrana.
Hesla v databázi k jednotlivým účtům jsou v databázi zahashována pomocí funkce známé jako HASH.
Viz reference na konci příspěvku.
Z wiki je patrné, že HASH se dá velmi obtížně dekódovat (restaurovat) Lze jej maximálně tak uhádnout.
Firma ORACLE, která vytvořila mimo jiných databázový systém MySQL, si pečlivě výpočet a kódování svých hesel střeží.
Na našem systému je navíc zvýšená ochrana hesel a to přidáním do hesel tzv. SALT viz reference.
Takže i kdyby někdo přešel přes první část tohoto příspěvku až k heslům, čekal by jej vcelku nadlidský úkol. Zde by bylo pro útočníka snazší si upravit svou vlastní postavu/účet než se "babrat" s heslem cizího účtu.

Druhá možnost jak se dostat k surovým datům v databázi je výpis přes tzv SQL Injektáž viz reference.
Zde je však ochrana skripty, které zastaví takovéto pokusy. Ještě vyšší ochrany se dosáhlo zákazem používat speciální znaky ve všech formulářích, které se odkazují do databáze. (Již před tímto krokem však byly chráněny jinými skripty, jen se přešlo na nové účinnější).

Prozatím si nevzpomenu co bych ještě zde dopsal, ale jistě proběhne několik úprav.


A nyní se dostaneme k možnostem z druhé strany jak se dostat k vašim heslům. Druhou stranou je myšlen přístup od Vás.

Nejsnazší je sdílení účtů (dobrovolně dodány údaje). Zde nemá smysl cokoliv dodávat, snad jen to, že by se lidi divili co jsou schopni někteří udělat pro pár nul a jedniček.

Další možností je uhádnutí hesla. Zde se nejčastěji vykukové dostanou k údajů typem pokus omyl. Jistě se najde tento případ mezi vámi : Jméno postavy = jméno účtu = heslo. To jest první věc co vyzkouší útočník. A pokud přes toto projde, pak ano nedali jste nikomu údaje, ale absolutně jste neudělali nic pro jejich ochranu.

Dále zde máme možnost okoukání hesla : přihlašujete se na veřejném místě (knihovna, u kamaráda či u vás doma a kamarád stojí za zády). Čím častěji se přihlašujete, tím více má šancí heslo okoukat. Zde bohužel je problém s přehlašováním na jiné CH, kdy je nutno v launcheru znovu zadat údaje a tím dát novou možnost okoukání. Za toto se omlouváme, ale je to "nutnost ochrany".

Zábavnou částí jak přijít o účet jsou případy nazývané jako podvodné weby, slibující odměny na Váš účet. Ať už lépe či hůře tvořené s naší či bez naší grafiky. Pokud by od nás měla vzniknout taková to akce, tak bude vždy jen na našich stránkách. Nevím proč by jsme ji dávali na stránky poskytující "škaredé" domény třetího řádu.

Velmi podobnou kategorií jsou tzv. yang hacky, drop hacky, +9 hacky, trade hacky ap., které po Vás opět chtějí zadat Vaše jméno a heslo, které má zabezpečit funkčnost podvodu, ale místo toho jsou tyto údaje odeslány buď do hry, nebo na email, skype, icq .... atd.

Podobně na tom jsou tzv. keylogery. Tyto programy odchytávají to co píšete na klávesnici a jsou pak údaje odesílány útočníkovi. Tyto programy mohou být nabaleny na předchozí kategorii (takto si zabezpečí útočník přístup i k dalších účtům, na které se přihlásíte) či již na samotnou instalaci hry (proto vždy doporučujeme používat jen a pouze instalace uvedené na našem webu, které jsou "čisté". Co k nim přibalí jiní (ne vždy to tak musí být, ale neručíme za ně) to již nelze prověřovat.

A přicházíme k další variantě. Tou jsou programy pro správu na dálku. Kdy poskytnete možnost ovládat Váš počítač na dálku. Tuto schopnost má mnoho programů a mimo jiné také Skype (hojně využívaný). Kdy stačí, že máte tuto funkci povolenu (či vyžádánu) a útočník pak změní údaje přímo na vašem PC.

Další možností jak být okraden je, že budete hrát či přistupovat ke svému účtu na počítači, který je již některým výše uvedeným příkladem napaden. Čistotu počítače si například ve škole či knihovně nemáte kolikrát ani jak ověřit.

Stejné problémy se dají sepsat na téma bezpečnosti vašich emailu. Kde platí to samé a je to často opomíjeno. Například kombinace kdy je heslo shodné jak pro email tak pro účet.



Takže je třeba si dávat pozor kde, na čem či před kým se přihlašujete. Jak máte ochráněn počítač či přístupové údaje. A kdo všechno má k danému počítači přístup.

Nástrah na běžného hráče čeká mnoho, ale není v našich silách se o vaše PC postarat. My chráníme data jak je to jen z naší pozice možné. Zbytek záleží na Vás.

Další náměty klidně v diskuzi.

Edit 23:15 :
Ještě jedna připomínka, která se týká daného problému. Pokud někdo napíše tiket, ve kterém žádá údaje ke svému účtu, tak bohužel většinou narazí. V rámci ochrany osobních údajů, ke kterým jsme se ze zákona zavázali, nemůžeme poskytovat údaje třetím osobám. Franta Čahoun z Horní Dolní nemůže dostat informaci, na kterém účtu má postavu FrantaCahoun i kdyby byla jeho, když nenapíše na tiket z emailu, který patří k danému účtu atd.

_________________________________________________________
Reference:
HASH http://cs.wikipedia.org/wiki/Ha%C5%A1ovac%C3%AD_funkce
Typy hesel a SALT http://interval.cz/clanky/salted-hash-d ... zpecnosti/
SQL Injection http://cs.wikipedia.org/wiki/SQL_injection
[GA]Saggi
Ekura tým

Pokud máte nějaký problém, kontaktujte nás na http://www.ekura.cz/herni_ucet/support
Nahoru
Zamčeno

Zpět na „Oznámení ze hry“


  • Chat Center
  • You do not have permission to post in chat.
I v chatu platí pravidla fóra! Obrázky, tabulky a YouTube videa vložte prosím do spoileru.
@ Lacius « sob 3:56 pm »
První 3 z každé říše, dnes, obdrží ještě nějakou odměnu do IS
@ Suko201 « pát 8:12 pm »
<3
@ Suko201 « pát 8:12 pm »
Konečně steepka, na to jsme čekali 💙
@ Mionix « pát 1:46 pm »
@CrazyBull,  Již se to někomu stalo. Potřeba udělat ticket se všemi potřebnými informacemi. S tímto opravdu nikdo nepočítal.
@ TomasFoxx « pát 10:13 am »
@CrazyBull,  tušim že to u nich píše trvanlivost 30 dni?
@ CrazyBull « čtv 8:57 pm »
Zdar všem , chci se zeptat zda se někomu vypařili ingredience dračího elixíru nebo se to stalo jen mě. Díky
@ HeXaPrO « čtv 6:54 pm »
Je tu grindelwald ?
@ Pajik « čtv 11:11 am »
@KerkyzAfterky,  Na vánoce a na výročí, ale to, zda a kdy to bude, to je už na GP. Můj předpoklad je, že to bude, ale to je tak vše, co se řekne. Zatím, co si vzpomínám, to je tak každý rok, ale může se i stát, že nebude holt
@ TomasFoxx « čtv 10:47 am »
@Mionixhttps://ctrlv.link/AJws
@ KerkyzAfterky « čtv 10:29 am »
Takashiro píše:
Mionix píše: @Takashiro,  Ten bývá jen o Vánocích.
tak to žiadne investicie do vianoc? 🥲
myslím, že byly i na výročí ekury jak je v červnu. Ale nevím, jestli každy rok
@ KerkyzAfterky « čtv 10:28 am »
Mionix píše: @KerkyzAfterky,  máte rukavice? To pomáhá. Sám jsem viděl sekat meteor mrazu v zaniklé jiného hráče. Měl prut 10kk 5kk kraslici, požehy, perg válečníka průniky.
tak fakt to je rukavicema, já myslel, že na tyhle eventové věci to nemá vliv :D :D tak díky a pardon :D
@ Takashiro « čtv 10:15 am »
Mionix píše: @Takashiro,  Ten bývá jen o Vánocích.
tak to žiadne investicie do vianoc? 🥲
@ Mionix « čtv 10:05 am »
@Takashiro,  Ten bývá jen o Vánocích.
@ Mionix « čtv 10:05 am »
@KerkyzAfterky,  máte rukavice? To pomáhá. Sám jsem viděl sekat meteor mrazu v zaniklé jiného hráče. Měl prut 10kk 5kk kraslici, požehy, perg válečníka průniky.
@ KerkyzAfterky « čtv 9:44 am »
Z mrazíka sem teď dostal prut 5kk a 2 požehy, to je bizár. Chci vidět, kdo vám to bude hrát příští rok :_D
@ Takashiro « čtv 8:57 am »
Kedy bude nejaky ten bonus na SDčka?
@ Mionix « čtv 7:48 am »
Dnešní údržba je posunuta na 11h.
@ Mionix « úte 8:58 am »
@Relly,  Mohu s vámi souhlasit, i support je důležitý, ale nic s tím nezmohu.
@ Relly « pon 6:14 pm »
@Mionix,  Co se týče hodin práce jednotlivých gm na eventech, to hráč posoudit nemůže. Muže a nemusí to tak být. Nicméně je ve hře tolik GM a nepřijde mi Ok, ze se na tickety čeká pomalu čtvrt roku. Beru, že se třeba podílí částečně na hře, co se eventu tyče. Osobně si myslim, že to tam delaji jen někteří a zbytek se veze, ale nevadí, to hráč nevidí jak ten ticket systém. Ale ona ta podpora (support) by měla též fungovat, je to jakási součást te práce a to mi přijde, že to tu nefunguje vůbec.
@ Mionix « pon 6:06 pm »
@Relly,  Já vám to neberu, takový pohled z hráčské strany může být, může se tak zdát. Ale věřte, že za tou hrou jsou obrovské hodiny práce. Třeba ty eventy se nevymyslí samy. Jsou v tom desítky a desítky hodin jednotlivých GM.
@ Relly « pon 5:42 pm »
@Mionix,  Mě třeba zaráží, že se tomu divíš. Též jsem na blbou chybu hry čekal 14 dní (a to se vyřešilo jen díky tomu, že jsem ti psal zde). Tady když gage čeká na ticket 2 měsíce, tak to asi o něčem vypovídá, ne ? A kupodivu to pak lidi tahají i sem, když vedení absolutně nezajímá, že jejich gm tým (podřízení) jen berou SD za jedno velké nic. Ale uznávám a respektuji, že aspoň ty se snažíš pomoci hráčům mimo forko, když už tady se na hráče kašle.
@ hg003 « ned 10:31 pm »
..
@ gagefranjo « ned 7:32 pm »
Mionix píše: @gagefranjo,  mohu vám napsat, aby jste vydržel do pondělí. Bude porada. Třeba se to louskne tam. ;-)
diky
@ gagefranjo « ned 7:06 pm »
Také stěžování na ticketu určitě nebudu praktikovat 😂
@ Mionix « ned 7:06 pm »
@gagefranjo,  mohu vám napsat, aby jste vydržel do pondělí. Bude porada. Třeba se to louskne tam. ;-)
@ gagefranjo « ned 7:06 pm »
Mne je Jasne, ze schválení návrhu závisí na par lidech z týmu. Kteří třeba ani nechodi války a když už, tak určitě ne za postavy, kterých se to tahle změna dotýká
@ gagefranjo « ned 7:05 pm »
Já vždy měl myšlenku, ze když se po par měsících připomenu na ticketu, tak se to bere za spam a hrozí za to tb. Je mozne ze se mýlím, ale takhle to beru
@ Mionix « ned 6:49 pm »
@gagefranjo,  A co po mně chceš? Narovinu. A tušíš vůbec, že na schválení či zamítnutí návrhu vůbec nezáleží. Protože ve finále, co se implementuje do hry není na tobě, na nás, ale pouze na majiteli? A jestli ti někdo dlouho řeší ticket, tak si prosím stěžuj tam, forum od toho není. :-)
@ gagefranjo « ned 6:40 pm »
Jinak Prave nevim, kde bych tento navrh podsunul. Ještě me napadl ticket, ale tam nic o návrzích nebylo 🤷🏼‍♂️
@ gagefranjo « ned 6:38 pm »
Tak čekal jsem, ze navrh zde na fóru bude rychlejší jak vaše klasické porady o tom co má prijit do hry
@ Mionix « ned 6:00 pm »
@gagefranjo,  Jo jo, to vůbec neděláte. :-)
@ gagefranjo « ned 5:53 pm »
Ale asi toho mate hodně, tak nebudu zbytecne rýpat 🙂
@ gagefranjo « ned 5:52 pm »
Jestli budu cekat jak na odpověď na ticket tak poteš 😃
@ Mionix « ned 5:03 pm »
@gagefranjo,  až do té doby, dokud ho buď schválíme k diskusi, či zamítneme. :-)
@ gagefranjo « ned 2:48 pm »
Jak dlouho se čeká na schválení návrhu?
@ Mionix « ned 9:40 am »
@kovardominik,  jdou přendavat z postavy na postavu. ;-)
@ kovardominik « sob 9:07 pm »
Během plnění úkolu s herbářem mohl být zrušen denní limit bylinek. Při nézké úrovni zručnosti a smůle to jde plnit několik dní
@ kovardominik « pát 10:55 pm »
Přirážka za rušení při práci u kováře je top :)
@ Mionix « pát 7:42 am »
@xSaskex,  to bohužel nemohu, musí řešit GM, které řešilo váš předchozí ticket.
@ xSaskex « čtv 6:57 pm »
@Mionix,  Ahoj Mio, mohl bych poprosit, jestli byste nemrkli na tiket č.92121? Už nějakou chvilku čekáme a zabere to jen malinko času. Díky za odpověď
@ schvarz « čtv 3:10 pm »
Velmi opatrně se softwarem jako AHK, mnoho her scanuje seznam běžících programů a pokud najdou AutoHotkey, tak to automaticky berou jako porušení podmínek použití. Takže zapínat jen na používání. A ještě teda upozorním, že AHK umožňuje automatizaci, která je proti podmínkám použití prakticky všech online her včetně ekury. Technicky vzato je proti podmínkám použití ekury i to použití na přebindování F1-F4 na jiné klávesy. Dokonce i software k herní myši před podmínkami použití neobstojí. Je to tolerováno, takže myslet na to.
@ RAMHH « čtv 1:21 pm »
@goddamnbary,  Podivej se na programy jako AHK
@ goddamnbary « čtv 1:09 pm »
Vedel by si mi poradiť ako sa to robí?
@ Akemos « čtv 9:40 am »
goddamnbary píše: Otázka, dajú sa zmeniť klávesy f1-f4?, chcel by som si kúpiť mini 60% klávesnicu
asi záleží na klávesnici. já si mohu dát jakoukoli klavesu kamkoliv třebai C na F5
@ goddamnbary « stř 3:25 pm »
Otázka, dajú sa zmeniť klávesy f1-f4?, chcel by som si kúpiť mini 60% klávesnicu
@ goddamnbary « stř 3:24 pm »
Sup ľudia
@ Mionix « pon 4:12 pm »
@Betty,  Na truhle je to napsané, že máte mít v ruce zbraň. ;-)
@ Betty « pon 3:13 pm »
Proč, když mám v ruce motyku a otevřu nazaretskou truhlu tak mi to dá meč na šamanku? :D
@ KerkyzAfterky « pon 1:02 pm »
Tak asi jste vybrali štěstičko i od ostatních :D já furt nic :D
@ gagefranjo « ned 10:54 pm »
Po přidání pojmenování výstroje, které chtěl snad vlastně úplně každý :) jsem nenasel za 3h hledání ani jednu. Včera jsem měl stesti a našel jsem ji asi za 15min.
@ Hakan « ned 9:08 pm »
Já našel uhelnou žílu včera asi za 2 minuty hledání, je fakt že den před tím jsem ji nenašel hodinu :lol:
@ KerkyzAfterky « ned 5:24 pm »
Mohl by se tady někdo z teamu vyjádřit o kolik byla zvýšená šance na výskyt uhelné žíly? Neznám nikoho ve hře, kdo by ji našel, všichni čerpají ze zásob, které měli ve skladu z předeventové doby. Vážně by nás to zajímalo, jestli prostě není někde chyba?
@ KerkyzAfterky « ned 2:19 pm »
TomasFoxx píše: https://ctrlv.link/wE54 drop z 10 mrazíků :D možná by to chtělo trošku boostnout
tobě aspoň padly povolení :D mě ani jedno, letos trošku bída no, ale jsem rád, že to nezrušili úplně :D
@ KerkyzAfterky « ned 2:18 pm »
Takashiro píše:
KerkyzAfterky píše:
TomasFoxx píše: @KerkyzAfterky,  vidíš, nadáváš na event a ani jsi nezjistil jak z peněženky dostat pořádný prachy :D
a poradíš?:D
ak mas urobeny quest od skladnika odovdzavaj ich zajacovi alešovi, daleko lepsie odmeny :D
jo už sem zjistil, ale díky moc :-)
@ gagefranjo « ned 12:03 pm »
To bylo no. Já Prave myslel, ze ta ranní údržba bude cílená přímo na ten drop, ale asi jindy😂
@ TomasFoxx « ned 11:34 am »
@gagefranjo,  no já posekal nejdřív 2 a z každýho 14 požehů a něco k tomu, tak jsem si říkal že wow, ale asi to bylo nějaký mega štěstí :D
@ gagefranjo « ned 11:32 am »
Neříkal jsi zrovna ty, ze ty odměny z těch meteoru jsou dobre? Ale jinak ano, ty odměny jsou výsměch :D
@ TomasFoxx « ned 11:08 am »
jelikož to je 80 minut práce
@ TomasFoxx « ned 11:07 am »
https://ctrlv.link/wE54 drop z 10 mrazíků :D možná by to chtělo trošku boostnout
@ Takashiro « ned 8:15 am »
KerkyzAfterky píše:
TomasFoxx píše: @KerkyzAfterky,  vidíš, nadáváš na event a ani jsi nezjistil jak z peněženky dostat pořádný prachy :D
a poradíš?:D
ak mas urobeny quest od skladnika odovdzavaj ich zajacovi alešovi, daleko lepsie odmeny :D

Who is chatting

offline Clusive 
offline Fozzy 
offline Mionix 
offline TomasFoxx 
AJAX Chat © 2015 Live Members Only check_indicator act_indicator  Updates every 300 Seconds