Bezpečnost vašich údajů a hesel

Informace o vybraných událostech ve hře. Pro kompletní informace o novinkách sledujte web.
Užitečné odkazy: Pravidla, Seznam změn, Tým Ekura
Zamčeno
Uživatelský avatar
Saggitarius
Game Administrator
Game Administrator
Příspěvky: 1146
Registrován: sob 01. kvě 2010 14:53:16
Dal poděkování: 8 poděkování
Dostal poděkování: 2822 poděkování

Bezpečnost vašich údajů a hesel

Příspěvek od Saggitarius » pát 11. lis 2011 23:00:06

Občas se objeví téma či tiket, který tvrdí, že nikdy nikomu nedal údaje k přihlášení a stejně byl vykraden. Proto vzniká toto téma, jako taková ukázka jak se lze k heslům dostat.


Jak jsou tedy data a hlavně tedy hesla na sindicate zabezpečena ?

Takže, nejprve je zde hardware ochrana.

Databáze je chráněna firewalem, který zamezí přístupu každému, kdo se nepřipojuje z jednoho ze 3 PC.
1 z nich je web (sindicate), zbylé 2 jsou IP adresy našich PC.
Kdyby se však stala chyba a dokázal by někdo prolomit hardwarový firewall (například jiný web na stejném PC v rámci hostingu), je nutno se prokázat přístupovým heslem. Kdy každý i správný přístup je monitorován. Ještě se doteď ale nestalo, že by přes firewall někdo prošel.
Stejným způsobem je chráněn přístup k serveru jako takovému. A tak se na daný PC nedá přihlásit bez hesla a kontroly IP adresy. Kde by někdo měl přístup k fyzické databázi.

Druhou stránkou je software ochrana.
Hesla v databázi k jednotlivým účtům jsou v databázi zahashována pomocí funkce známé jako HASH.
Viz reference na konci příspěvku.
Z wiki je patrné, že HASH se dá velmi obtížně dekódovat (restaurovat) Lze jej maximálně tak uhádnout.
Firma ORACLE, která vytvořila mimo jiných databázový systém MySQL, si pečlivě výpočet a kódování svých hesel střeží.
Na našem systému je navíc zvýšená ochrana hesel a to přidáním do hesel tzv. SALT viz reference.
Takže i kdyby někdo přešel přes první část tohoto příspěvku až k heslům, čekal by jej vcelku nadlidský úkol. Zde by bylo pro útočníka snazší si upravit svou vlastní postavu/účet než se "babrat" s heslem cizího účtu.

Druhá možnost jak se dostat k surovým datům v databázi je výpis přes tzv SQL Injektáž viz reference.
Zde je však ochrana skripty, které zastaví takovéto pokusy. Ještě vyšší ochrany se dosáhlo zákazem používat speciální znaky ve všech formulářích, které se odkazují do databáze. (Již před tímto krokem však byly chráněny jinými skripty, jen se přešlo na nové účinnější).

Prozatím si nevzpomenu co bych ještě zde dopsal, ale jistě proběhne několik úprav.


A nyní se dostaneme k možnostem z druhé strany jak se dostat k vašim heslům. Druhou stranou je myšlen přístup od Vás.

Nejsnazší je sdílení účtů (dobrovolně dodány údaje). Zde nemá smysl cokoliv dodávat, snad jen to, že by se lidi divili co jsou schopni někteří udělat pro pár nul a jedniček.

Další možností je uhádnutí hesla. Zde se nejčastěji vykukové dostanou k údajů typem pokus omyl. Jistě se najde tento případ mezi vámi : Jméno postavy = jméno účtu = heslo. To jest první věc co vyzkouší útočník. A pokud přes toto projde, pak ano nedali jste nikomu údaje, ale absolutně jste neudělali nic pro jejich ochranu.

Dále zde máme možnost okoukání hesla : přihlašujete se na veřejném místě (knihovna, u kamaráda či u vás doma a kamarád stojí za zády). Čím častěji se přihlašujete, tím více má šancí heslo okoukat. Zde bohužel je problém s přehlašováním na jiné CH, kdy je nutno v launcheru znovu zadat údaje a tím dát novou možnost okoukání. Za toto se omlouváme, ale je to "nutnost ochrany".

Zábavnou částí jak přijít o účet jsou případy nazývané jako podvodné weby, slibující odměny na Váš účet. Ať už lépe či hůře tvořené s naší či bez naší grafiky. Pokud by od nás měla vzniknout taková to akce, tak bude vždy jen na našich stránkách. Nevím proč by jsme ji dávali na stránky poskytující "škaredé" domény třetího řádu.

Velmi podobnou kategorií jsou tzv. yang hacky, drop hacky, +9 hacky, trade hacky ap., které po Vás opět chtějí zadat Vaše jméno a heslo, které má zabezpečit funkčnost podvodu, ale místo toho jsou tyto údaje odeslány buď do hry, nebo na email, skype, icq .... atd.

Podobně na tom jsou tzv. keylogery. Tyto programy odchytávají to co píšete na klávesnici a jsou pak údaje odesílány útočníkovi. Tyto programy mohou být nabaleny na předchozí kategorii (takto si zabezpečí útočník přístup i k dalších účtům, na které se přihlásíte) či již na samotnou instalaci hry (proto vždy doporučujeme používat jen a pouze instalace uvedené na našem webu, které jsou "čisté". Co k nim přibalí jiní (ne vždy to tak musí být, ale neručíme za ně) to již nelze prověřovat.

A přicházíme k další variantě. Tou jsou programy pro správu na dálku. Kdy poskytnete možnost ovládat Váš počítač na dálku. Tuto schopnost má mnoho programů a mimo jiné také Skype (hojně využívaný). Kdy stačí, že máte tuto funkci povolenu (či vyžádánu) a útočník pak změní údaje přímo na vašem PC.

Další možností jak být okraden je, že budete hrát či přistupovat ke svému účtu na počítači, který je již některým výše uvedeným příkladem napaden. Čistotu počítače si například ve škole či knihovně nemáte kolikrát ani jak ověřit.

Stejné problémy se dají sepsat na téma bezpečnosti vašich emailu. Kde platí to samé a je to často opomíjeno. Například kombinace kdy je heslo shodné jak pro email tak pro účet.



Takže je třeba si dávat pozor kde, na čem či před kým se přihlašujete. Jak máte ochráněn počítač či přístupové údaje. A kdo všechno má k danému počítači přístup.

Nástrah na běžného hráče čeká mnoho, ale není v našich silách se o vaše PC postarat. My chráníme data jak je to jen z naší pozice možné. Zbytek záleží na Vás.

Další náměty klidně v diskuzi.

Edit 23:15 :
Ještě jedna připomínka, která se týká daného problému. Pokud někdo napíše tiket, ve kterém žádá údaje ke svému účtu, tak bohužel většinou narazí. V rámci ochrany osobních údajů, ke kterým jsme se ze zákona zavázali, nemůžeme poskytovat údaje třetím osobám. Franta Čahoun z Horní Dolní nemůže dostat informaci, na kterém účtu má postavu FrantaCahoun i kdyby byla jeho, když nenapíše na tiket z emailu, který patří k danému účtu atd.

_________________________________________________________
Reference:
HASH http://cs.wikipedia.org/wiki/Ha%C5%A1ovac%C3%AD_funkce
Typy hesel a SALT http://interval.cz/clanky/salted-hash-d ... zpecnosti/
SQL Injection http://cs.wikipedia.org/wiki/SQL_injection
[GA]Saggi
Ekura tým

Pokud máte nějaký problém, kontaktujte nás na http://www.ekura.cz/herni_ucet/support

Zamčeno

  • You do not have permission to post in chat.
@ noxforko « pát 3:10 pm »
vím že kdysi byly z dropu, ale to už je dávno, to byl ještě zajíc u soona :D
@ KerkyzAfterky « pát 3:04 pm »
zatím sem nezkoušel, zrovna to vypli :D
@ noxforko « pát 3:04 pm »
a pruty na to dropneš?
@ KerkyzAfterky « pát 3:03 pm »
akorat změnili počty
@ KerkyzAfterky « pát 3:03 pm »
Takashiro píše:
Mionix píše: Novinka bude vydána. Strpení.
a kdeže sa dá vyrobiť alebo ziskať ten košik? kedže o tom nikde nieje žiadne info
košík na vajca ti uděla rybář v event mapě a klec ariyoung taky
@ Takashiro « pát 3:03 pm »
Mionix píše: Novinka bude vydána. Strpení.
a kdeže sa dá vyrobiť alebo ziskať ten košik? kedže o tom nikde nieje žiadne info
@ Luuuca « pát 3:02 pm »
Jej oni vám sáhli na yangy :D to je hrůůůza
@ KerkyzAfterky « pát 3:02 pm »
Takashiro píše: tak event by podľa mňa mal byť o tom že si hráči na chviľku vedia zarobiť ináč než nekonečným sekaním, trošku to spestriť, eventy kvoli obrazkom, neviem či poznám niekoho tak prešľahaného aby ho to bavilo :D
přesně moje slova
@ KerkyzAfterky « pát 3:01 pm »
je to přijemna změna oproti swampu, cido či dokonce entu
@ Takashiro « pát 3:01 pm »
tak event by podľa mňa mal byť o tom že si hráči na chviľku vedia zarobiť ináč než nekonečným sekaním, trošku to spestriť, eventy kvoli obrazkom, neviem či poznám niekoho tak prešľahaného aby ho to bavilo :D
@ Mionix « pát 3:01 pm »
Novinka bude vydána. Strpení.
@ Mionix « pát 3:01 pm »
Byla chyba v hlavním Qusetu v Donji. Opraveno. Nyní lze plnit. Již to posílá za správným NPC.
@ KerkyzAfterky « pát 3:01 pm »
dělalo se to kvuli vydělku, neumiš čist? 2 lidi to tu psali už
@ Luuuca « pát 3:00 pm »
A co je zábavného na sekání vajíček ? :D
@ KerkyzAfterky « pát 3:00 pm »
noxforko píše: nové to sice je, ale trochu to připomíná revorklé Q z Vánoc, a propo pokud tu někdo bude psát že eventy nejsou o odměnách ale zpestření hry tak je šul*a, protože eventy mají být hlavně o zábavě, a neznám lepší pocit než v ekonomicky založené hře nezíksat prakticky nic kromě obrázku u jména
true.. nechapu tu vymluvu, že event je na zabavu. Co je zabavneho na questech, ktere maš projete hned
@ noxforko « pát 2:59 pm »
nové to sice je, ale trochu to připomíná revorklé Q z Vánoc, a propo pokud tu někdo bude psát že eventy nejsou o odměnách ale zpestření hry tak je šul*a, protože eventy mají být hlavně o zábavě, a neznám lepší pocit než v ekonomicky založené hře nezíksat prakticky nic kromě obrázku u jména
@ KerkyzAfterky « pát 2:59 pm »
ano a proč bych z eventu nemohl vydělat? To se mam pastit někde v entu jak dalšich 100lidi?
@ Takashiro « pát 2:58 pm »
bude k eventu aj nejake info? ako nováčik nepoznám veľa veci ako na ekure funguje a v hre neni žiadna napomoc pri eventoch, proste zisti si sam od hráčov....
@ KerkyzAfterky « pát 2:58 pm »
však mě se Q v mapce libi, ale proč rušit vajca, co dělal každy a každy to dělat chtěl? to prostě nechapu
@ Luuuca « pát 2:58 pm »
Měl jsi to rád protože jsi na tom rejžoval :) sekat jak trubka můžeš metiny ;)
@ KerkyzAfterky « pát 2:57 pm »
Omlouvam se, ale zrušeni vajec mě fakt dostalo :D měl sem to rad
@ Luuuca « pát 2:57 pm »
Však tu nedávno byl brek na GM at přidají něco nového :D
@ Mionix « pát 2:57 pm »
@KerkyzAfterky,  Kuš
@ KerkyzAfterky « pát 2:57 pm »
Novinky o ktere nikdo zajem nema
@ Mionix « pát 2:57 pm »
Jinak pro info, i ty sesbírané bylinky ze země jsou obchodovatelné. Tak že, pokud na jedné postavě máte již vyčerpáno sbírání dnešní den, můžete sesbírat na jiné a přendat si je. ;-)
@ Luuuca « pát 2:56 pm »
Vlastně mlátit vajíčka jak trubka je zábava :D
@ KerkyzAfterky « pát 2:56 pm »
Ja se uplně bojim, co se stane s čarodkama. Vubec bych se nedivil, že zruši majku a udělaji to jak s cidonii :D že bude dana na časy
@ Luuuca « pát 2:55 pm »
Takže něco nového je :) a klasicky je to zase špatně :D
@ KerkyzAfterky « pát 2:55 pm »
jestli ti přijde ok sebrat lidem vajica a dát misto toho Q, ktere máš projete hned, tak si asi jednoduchy :D
@ KerkyzAfterky « pát 2:55 pm »
jinak noveho neni nic kromě dělaní věnce a Q v mapě
@ KerkyzAfterky « pát 2:55 pm »
co je nového? Jako Questy v event mapě?
@ Luuuca « pát 2:53 pm »
Není to tak dávno co si tu většina stěžovala že jsou eventy pořád stejné dokola a at se přidá něco nového, když přidají něco nového tak tu frfláte že je něco nového a to staré není
@ KerkyzAfterky « pát 2:48 pm »
Takže ničení vajec jste zrušili, jo ?:D Co přijde o čarodkach? Zrušení májky ? :-)))
@ Mionix « pát 1:56 pm »
A pak ten tatínek Postránecký dodal: "To je nedůslednou výchovou jejich matek" :-D
@ Hakan « pát 1:55 pm »
btw. kraslice na zemi jsou bez jakéhokoli popisku, je to tak jak má být? :think:
@ Hakan « pát 1:53 pm »
To už si nepamatuju, jsem filmový barbar :lol:
@ Mionix « pát 1:50 pm »
@Hakan,  Hůůůůš, hůůůůůš. To říkal na děti jeden z tatínků ve S tebou mě baví svět. :-D
@ Hakan « pát 1:45 pm »
Huš se říká na svině :(
@ Mionix « pát 12:38 pm »
Tak hybaj do hry. :-)
@ KerkyzAfterky « pát 11:17 am »
Hakan píše: Tak ještě že se s údržbou čekalo až bude aréna :lol:
Jsou hodní, že na nás mysleli, ale zapomněli, že ráno se nedochází z 90ti % :D
@ Hakan « pát 10:38 am »
Tak ještě že se s údržbou čekalo až bude aréna :lol:
@ noxforko « čtv 12:03 pm »
díkec, nechtělo se mi kvůli toho dělat dropa
@ tasik1 « čtv 12:02 pm »
ano padají
@ noxforko « čtv 12:00 pm »
hoj padnou karmy na lv 145 ve swampu?
@ KerkyzAfterky « čtv 12:03 am »
Nonepovideeej píše: @KerkyzAfterky,  Velikonoční event začne pravděpodobně až v pondělí, jelikož sv. Patrik končí až v neděli
To se mi moc nezdá, když je v pátek veký pátek :D ale nechame se překvapit
@ Nonepovideeej « stř 10:14 pm »
@KerkyzAfterky,  Velikonoční event začne pravděpodobně až v pondělí, jelikož sv. Patrik končí až v neděli
@ KerkyzAfterky « stř 10:06 pm »
Krasny večer přeji. Když se přesunula udržba na pátek, můžeme očekavat ty velikonoce až v pátek, nebo to pro nás máte nachystane už na zítřek? :)
@ Relly « stř 11:32 am »
@Hakan,  Tak lidi se už asi naučili, ze ranní arény ve všední dny nema smysl zkoušet.
@ Hakan « stř 9:58 am »
20s před zahájením arény, docela nápor https://ctrlv.cz/wile
@ FugasBoss « ned 9:48 am »
nefunguje přihlášení na web hry
@ Mionix « ned 9:45 am »
@RAMHH:-) nemáte zač, jak jsem koupil, tak jsem předal. :-)
@ RAMHH « ned 9:42 am »
@Mionix,  Díky za vysvětlení. Já myslel, že to bude systém podobný válkám, tudíž by blokoval vstup po celou dobu invaze, když už tam vstoupil za jinou říši. Tomuto se dá vyhnout relogem, takže s tím takový problém nemám, nakonec.
@ Mionix « ned 8:43 am »
@RAMHH,  "mnu nesmí mít lognuté dvě říše naráz je tam právě systém, aby nemohli farmit cb sami na sobě takže poud měl lognuto jedno co vstoupilo do invaze, enchal to lognuté a naportil si do invaze jinou říši, tak ho to koplo do vězení kdyby to odhlásil mohl by"
@ RAMHH « sob 8:38 pm »
Je v invazi nějaký systém, co dá hráče, který si jde za prohranou říši spawnout špióna vítězné říše, do vězení? Protože jestli opravdu ano, tak to je snad ještě větší nesmysl, než tlačit lidi do "PvP" akce na čtení spellů dropem z mobek..
@ Beauty « čtv 8:54 am »
Děkuju
@ Saggitarius « čtv 8:53 am »
9:00 až cca 9:20 (dnes jen ladění změn v eventu a pár drobností)
@ Beauty « čtv 8:36 am »
Od-do je údržba, prosím?
@ Takashiro « ned 11:58 pm »
Takashiro píše: jak sa zbavim toho maleho vaku z inventara bol som nabrať tu vodu prešiel som bludište a nič,
tak bolo treba prvy krat urobit ten quest aby som sa zbavil toho vaku, az potom tam dalo tu moznost
@ Relly « ned 8:47 pm »
@TheDobbyk,  Když z těch všech adminů jsou aktivní tak 1-2, tak ano. Počkáš si. Taky nechápu, že se tu platí GMka (SDčkama) za nic, ale prostě ekura.
@ Takashiro « ned 4:49 pm »
jak sa zbavim toho maleho vaku z inventara bol som nabrať tu vodu prešiel som bludište a nič,

Who is chatting

offline Hakan 
offline Mionix 
offline Obter!vr 
offline Takashiro 
offline beniamino 
offline dominho9 
offline hg003 
offline noxforko