Bezpečnost vašich údajů a hesel

Informace o vybraných událostech ve hře. Pro kompletní informace o novinkách sledujte web.
Užitečné odkazy: Pravidla, Seznam změn, Tým Ekura
Zamčeno
Uživatelský avatar
Saggitarius
Game Administrator
Game Administrator
Příspěvky: 1145
Registrován: sob 01. kvě 2010 14:53:16
Dal poděkování: 8 poděkování
Dostal poděkování: 2818 poděkování

Bezpečnost vašich údajů a hesel

Příspěvek od Saggitarius » pát 11. lis 2011 23:00:06

Občas se objeví téma či tiket, který tvrdí, že nikdy nikomu nedal údaje k přihlášení a stejně byl vykraden. Proto vzniká toto téma, jako taková ukázka jak se lze k heslům dostat.


Jak jsou tedy data a hlavně tedy hesla na sindicate zabezpečena ?

Takže, nejprve je zde hardware ochrana.

Databáze je chráněna firewalem, který zamezí přístupu každému, kdo se nepřipojuje z jednoho ze 3 PC.
1 z nich je web (sindicate), zbylé 2 jsou IP adresy našich PC.
Kdyby se však stala chyba a dokázal by někdo prolomit hardwarový firewall (například jiný web na stejném PC v rámci hostingu), je nutno se prokázat přístupovým heslem. Kdy každý i správný přístup je monitorován. Ještě se doteď ale nestalo, že by přes firewall někdo prošel.
Stejným způsobem je chráněn přístup k serveru jako takovému. A tak se na daný PC nedá přihlásit bez hesla a kontroly IP adresy. Kde by někdo měl přístup k fyzické databázi.

Druhou stránkou je software ochrana.
Hesla v databázi k jednotlivým účtům jsou v databázi zahashována pomocí funkce známé jako HASH.
Viz reference na konci příspěvku.
Z wiki je patrné, že HASH se dá velmi obtížně dekódovat (restaurovat) Lze jej maximálně tak uhádnout.
Firma ORACLE, která vytvořila mimo jiných databázový systém MySQL, si pečlivě výpočet a kódování svých hesel střeží.
Na našem systému je navíc zvýšená ochrana hesel a to přidáním do hesel tzv. SALT viz reference.
Takže i kdyby někdo přešel přes první část tohoto příspěvku až k heslům, čekal by jej vcelku nadlidský úkol. Zde by bylo pro útočníka snazší si upravit svou vlastní postavu/účet než se "babrat" s heslem cizího účtu.

Druhá možnost jak se dostat k surovým datům v databázi je výpis přes tzv SQL Injektáž viz reference.
Zde je však ochrana skripty, které zastaví takovéto pokusy. Ještě vyšší ochrany se dosáhlo zákazem používat speciální znaky ve všech formulářích, které se odkazují do databáze. (Již před tímto krokem však byly chráněny jinými skripty, jen se přešlo na nové účinnější).

Prozatím si nevzpomenu co bych ještě zde dopsal, ale jistě proběhne několik úprav.


A nyní se dostaneme k možnostem z druhé strany jak se dostat k vašim heslům. Druhou stranou je myšlen přístup od Vás.

Nejsnazší je sdílení účtů (dobrovolně dodány údaje). Zde nemá smysl cokoliv dodávat, snad jen to, že by se lidi divili co jsou schopni někteří udělat pro pár nul a jedniček.

Další možností je uhádnutí hesla. Zde se nejčastěji vykukové dostanou k údajů typem pokus omyl. Jistě se najde tento případ mezi vámi : Jméno postavy = jméno účtu = heslo. To jest první věc co vyzkouší útočník. A pokud přes toto projde, pak ano nedali jste nikomu údaje, ale absolutně jste neudělali nic pro jejich ochranu.

Dále zde máme možnost okoukání hesla : přihlašujete se na veřejném místě (knihovna, u kamaráda či u vás doma a kamarád stojí za zády). Čím častěji se přihlašujete, tím více má šancí heslo okoukat. Zde bohužel je problém s přehlašováním na jiné CH, kdy je nutno v launcheru znovu zadat údaje a tím dát novou možnost okoukání. Za toto se omlouváme, ale je to "nutnost ochrany".

Zábavnou částí jak přijít o účet jsou případy nazývané jako podvodné weby, slibující odměny na Váš účet. Ať už lépe či hůře tvořené s naší či bez naší grafiky. Pokud by od nás měla vzniknout taková to akce, tak bude vždy jen na našich stránkách. Nevím proč by jsme ji dávali na stránky poskytující "škaredé" domény třetího řádu.

Velmi podobnou kategorií jsou tzv. yang hacky, drop hacky, +9 hacky, trade hacky ap., které po Vás opět chtějí zadat Vaše jméno a heslo, které má zabezpečit funkčnost podvodu, ale místo toho jsou tyto údaje odeslány buď do hry, nebo na email, skype, icq .... atd.

Podobně na tom jsou tzv. keylogery. Tyto programy odchytávají to co píšete na klávesnici a jsou pak údaje odesílány útočníkovi. Tyto programy mohou být nabaleny na předchozí kategorii (takto si zabezpečí útočník přístup i k dalších účtům, na které se přihlásíte) či již na samotnou instalaci hry (proto vždy doporučujeme používat jen a pouze instalace uvedené na našem webu, které jsou "čisté". Co k nim přibalí jiní (ne vždy to tak musí být, ale neručíme za ně) to již nelze prověřovat.

A přicházíme k další variantě. Tou jsou programy pro správu na dálku. Kdy poskytnete možnost ovládat Váš počítač na dálku. Tuto schopnost má mnoho programů a mimo jiné také Skype (hojně využívaný). Kdy stačí, že máte tuto funkci povolenu (či vyžádánu) a útočník pak změní údaje přímo na vašem PC.

Další možností jak být okraden je, že budete hrát či přistupovat ke svému účtu na počítači, který je již některým výše uvedeným příkladem napaden. Čistotu počítače si například ve škole či knihovně nemáte kolikrát ani jak ověřit.

Stejné problémy se dají sepsat na téma bezpečnosti vašich emailu. Kde platí to samé a je to často opomíjeno. Například kombinace kdy je heslo shodné jak pro email tak pro účet.



Takže je třeba si dávat pozor kde, na čem či před kým se přihlašujete. Jak máte ochráněn počítač či přístupové údaje. A kdo všechno má k danému počítači přístup.

Nástrah na běžného hráče čeká mnoho, ale není v našich silách se o vaše PC postarat. My chráníme data jak je to jen z naší pozice možné. Zbytek záleží na Vás.

Další náměty klidně v diskuzi.

Edit 23:15 :
Ještě jedna připomínka, která se týká daného problému. Pokud někdo napíše tiket, ve kterém žádá údaje ke svému účtu, tak bohužel většinou narazí. V rámci ochrany osobních údajů, ke kterým jsme se ze zákona zavázali, nemůžeme poskytovat údaje třetím osobám. Franta Čahoun z Horní Dolní nemůže dostat informaci, na kterém účtu má postavu FrantaCahoun i kdyby byla jeho, když nenapíše na tiket z emailu, který patří k danému účtu atd.

_________________________________________________________
Reference:
HASH http://cs.wikipedia.org/wiki/Ha%C5%A1ovac%C3%AD_funkce
Typy hesel a SALT http://interval.cz/clanky/salted-hash-d ... zpecnosti/
SQL Injection http://cs.wikipedia.org/wiki/SQL_injection
[GA]Saggi
Ekura tým

Pokud máte nějaký problém, kontaktujte nás na http://www.ekura.cz/herni_ucet/support

Zamčeno

  • You do not have permission to post in chat.
@ Takashiro « ned 11:58 pm »
Takashiro píše: jak sa zbavim toho maleho vaku z inventara bol som nabrať tu vodu prešiel som bludište a nič,
tak bolo treba prvy krat urobit ten quest aby som sa zbavil toho vaku, az potom tam dalo tu moznost
@ Relly « ned 8:47 pm »
@TheDobbyk,  Když z těch všech adminů jsou aktivní tak 1-2, tak ano. Počkáš si. Taky nechápu, že se tu platí GMka (SDčkama) za nic, ale prostě ekura.
@ Takashiro « ned 4:49 pm »
jak sa zbavim toho maleho vaku z inventara bol som nabrať tu vodu prešiel som bludište a nič,
@ TheDobbyk « ned 2:31 pm »
Ahoj, je možne že se reši jeden prípad už vic jak mnesic.. A na ticket sem nedostal odpoveď. Pripad je natolik rozsahly ze bylo poskodzenych vice lidi.. Ale nic se s tim nedela a ja mam vse pozastavene...
@ Clusive « pát 6:56 pm »
ShienZhao píše: Zdravím. Chci se zeptat, jestli se nepřemýšlelo o změně barev při eventovych kloboucich. Né každému se hodí zelená barva, když je v dnešní době možné obarvit zbraň a brnění. Jasný nemusím to kupovat a nosit, ale změna by byla fajn a dokázal bych si poté představit ze lidi budou více kupovat klobouky a nosit je, ještě když jsou na 60 dni. Dokázal bych si představit pomoci barvy nebo něčeho klobouk obarvit, ale asi je sci-fi ze? :kekw:
Nápad to není špatný, ale to už by nebyla v tom případě barva spojená s tímto eventem (zelená).
@ Davisss « pát 3:11 pm »
Ahoj, kde dropnu věci na palici na hady prosím? Díky
@ RAMHH « čtv 11:00 pm »
@gagefranjo,  Ja bych spise uvital slibene levelovani schopnosti na P1+ bez zabijeni niceho, protoze jako PvM hrac jsem jen koristi pri invazi :D A nebo alespon neslibeny revisit nesmyslnych spellu u daggera a mentala :)
@ gagefranjo « čtv 8:08 pm »
Když jsme u těch barev, kdy se plánuje přidat barvení na zbraně mimo chitinky. Jestli se nepletu, tak to víc jak před rokem bylo slibeno k barvám chitin zbraní
@ ShienZhao « čtv 8:00 pm »
Zdravím. Chci se zeptat, jestli se nepřemýšlelo o změně barev při eventovych kloboucich. Né každému se hodí zelená barva, když je v dnešní době možné obarvit zbraň a brnění. Jasný nemusím to kupovat a nosit, ale změna by byla fajn a dokázal bych si poté představit ze lidi budou více kupovat klobouky a nosit je, ještě když jsou na 60 dni. Dokázal bych si představit pomoci barvy nebo něčeho klobouk obarvit, ale asi je sci-fi ze? :kekw:
@ qSTRoNgMANp « čtv 9:38 am »
Pokud ti nepujde Wine, tak to ani neřeš. Taky mě zaskočil Microsoft s rozhodnutím ukončení podpory Win 10, kde osobně Win 11 mi nefunguje, tak jak já potřebuji a je spíše user friendly, ale už ne programator friendly. :D Síťová nastavení jsem si musel udělal na zástupce na plochu, celkově je to pro mě krok zpět.
@ Mionix « stř 6:03 pm »
@schvarz:up: hlavně z nás to nikdo neovládá, nemá, tak že i případná podpora by byla nulová.
@ schvarz « úte 10:17 pm »
Na jako vážně, podle průzkumu Steamu tvoří uživatelé Linuxu (jako hlavního OS) zhruba 2% celkové populace. Přepsat 20 let starou CPP aplikaci, aby podporovala UNIXové operační systémy, je absurdně náročné. A finanční zisk by z tohonejspíš žádný nebyl, takže by to víceméně byla práce vniveč. Kdyby se to psalo odznovu, tak by to dávalo smysl, ale takhle ne.
@ schvarz « úte 10:15 pm »
Vote: rename na Dutohlav
@ Mionix « úte 5:12 pm »
@Skullhlav,  Win 10 bude fungovat i dál. Ne neuvažujeme, nikdo z nás Linux nemá a ani ho neovládá.
@ TomasFoxx « úte 4:18 pm »
@Skullhlav,  si myslíš že po tom co si tu furt předváděl se s tebou někdo bude bavit, protože ses vrátil po delší době? :D :D mazej a už nepiš
@ Skullhlav « úte 3:48 pm »
xxx
@ Suko201 « pon 12:36 am »
MoravskyPepin píše: Ona je nová karma P1+?
jo, já už mám P9, ale je to hardcore na další levely
@ MoravskyPepin « ned 9:33 pm »
Ona je nová karma P1+?
@ Cunter « ned 7:47 pm »
Kategória Všichni samozrejme, pekne by to ukázalo koľko hráčov robí generácie a atď
@ Cunter « ned 7:45 pm »
Taka otázočka nechcete do štatistik, kde je rebríček zakomponovať hráčov aj podľa generacii ? lebo takto je to tam stale len podľa levelov ....
@ MoCKeR « ned 1:46 pm »
Aby si sa mohol sťažovať jak sa ti zle nerdi 0 bez se vyvetrat valec
@ Lejno « ned 11:10 am »
Je nejaké vysvetlenie, prečo sa na mole napr na CH3 spawnu 3 skupinky na jednej strane a až po 10 sekundách 3 skupinky na strane druhej a napr na CH2 sa všetkých 6 spawne naraz ? Dakujem
@ Skullhlav « ned 10:19 am »
Zdravím, dlouhé době. Nevím kolik lidí tady má starý počítač a jelikož příští rok na podzim bude ukončena podpora win 10 . Neuvažovalo vedení zajistit fungování na Linuxu?
@ schvarz « pát 6:26 pm »
.
@ schvarz « čtv 5:21 pm »
Já to hlásám roky, ničím se netajím. Za mě je po 14 letech serveru (11+ let karmy) na místě výrazně zkrátit dobu, kterou trvá tyhle "starší" věci dokončit. Tzn biolog (komplet) a karma. Takže budu fandit jakékoliv změně tímhle směrem.
@ Saggitarius « čtv 10:31 am »
Suko201 píše:
schvarz píše: @Suko201,  Hlasování ještě ani neskončilo, návrh zatím neprošel a pamatuj na to, že v současné době ranky 1-M1 by stále vyžadovaly 6h odevzdávání.
však kamo karma 1-M1 je nejvíc easy, když to děláš 2x denně máš to docela za krátkou dobu, nemůžou zas udělat vše snadnější. Ten návrh je perfektní, už tak ty vyšší karmy budou na kratší dobu, takže za mě je tato možnost top.
Můžeme, ale nemusíme.
@ Suko201 « čtv 10:29 am »
schvarz píše: @Suko201,  Hlasování ještě ani neskončilo, návrh zatím neprošel a pamatuj na to, že v současné době ranky 1-M1 by stále vyžadovaly 6h odevzdávání.
však kamo karma 1-M1 je nejvíc easy, když to děláš 2x denně máš to docela za krátkou dobu, nemůžou zas udělat vše snadnější. Ten návrh je perfektní, už tak ty vyšší karmy budou na kratší dobu, takže za mě je tato možnost top.
@ Saggitarius « čtv 10:24 am »
Ano, je to tam tak napsáno. Máme samozřejmě i další verze :D Viz tabulka kde se jedná o verzi A. Ale je to o diskuzi.
@ schvarz « čtv 3:01 am »
@Suko201,  Hlasování ještě ani neskončilo, návrh zatím neprošel a pamatuj na to, že v současné době ranky 1-M1 by stále vyžadovaly 6h odevzdávání.
@ Suko201 « stř 10:37 am »
Ten návrh je opravdu luxus. Hodně lidí si nemůže dovolit se přihlašovat každých 6h a díky tomu se karma dělala v roky, teď se to zlepší.. Opravdu skvělý nápad, děkujeme :-) Kdy by tento update cca vyšel?
@ Bisky « stř 9:26 am »
Prosím o hlasování v tomto návrhu. :inlove: viewtopic.php?f=59&t=124514
@ schvarz « úte 4:35 am »
Takashiro má pravdu, Ústav pro jazyk český uvádí "perfekcionista" jako jedinou správnou variantu. https://prirucka.ujc.cas.cz/?slovo=perfekcionista
@ Takashiro « pon 8:24 pm »
Máte zle napísane slovíčko u Makamita, píše sa to perfekcionista nie perfekcionalista :D
@ TomasFoxx « ned 3:24 pm »
hehe
@ TomasFoxx « ned 3:24 pm »
@RAMHH,  jejich problem, maj spolupracovat a chodit do válek
@ RAMHH « ned 12:43 pm »
@TomasFoxx,  Válka bez spawnů by byla hodně velká pecka, zvláště v té válce v létě, ve které tam za říši jdou 4 lidé.. :D
@ qSTRoNgMANp « ned 12:07 pm »
@Mionix,  Pat a Mat moves.
@ TomasFoxx « ned 11:13 am »
Já nad tím přemýšlel už ten první den a prostě jediný logický vysvětlení těch nerfů co zatím proběhly pro mě je to, že se saggi asi chystá prostě zrušit spawny ve válkách (takže války bez bufferů na spawnech) :D Proto taky takhle nerfuje průniky, proto do karmy přidává "požehnání", proto healnutí zruška.
@ Mionix « ned 11:10 am »
V pohodě. :-)
@ TomasFoxx « ned 11:10 am »
Rád bych no, bohužel asi není koho se zeptat, proto taky prudim tady tebe :D za což sorry, někde to ventilovat musim :D :D
@ Mionix « ned 11:09 am »
@TomasFoxx,  hele tak to musíš položit dotaz jinde. :-D Já PvP nedělám a ani se do nějakých změn nemontuji. Já nejsem kreativec.
@ TomasFoxx « ned 11:07 am »
@Mionix,  no to my všichni chápeme, že to byl záměr, nám jen nedochází, PROČ to byl záměr :D proč se ubírá dmg postavám, který jsou v těch válkách slabší :D
@ Mionix « ned 10:49 am »
@Lejno,  Ale snížení průniku ve válkách byl záměr, pro všechny. A jedno, zda má 9x prům, nebo výbavu jako Foxx.
@ Lejno « ned 10:40 am »
Doslova ti napisal, čo to znížilo a ako to ovplyvnilo ninje alebo aurakov, ktorí to hrali normálne na spelly 🤦
@ Mionix « ned 9:52 am »
@M3t0r1,  My jsme nic nezničili. Jen se změnil výpočet průniku a v PvP se jím bere méně.
@ M3t0r1 « ned 6:54 am »
Mionix píše: Napíši dnes poslední. Jeden mi psal ve hře, jak jsme mu zničili PvP výbavu. Jeho PvP bylo 9x průmka plus průniky kde to jde. Jestli si někdo myslí, že PvP je bez použití kouzel jen zaražený mezerník na klávesnici, tak se hodně spletl. To dle mého soukromého názoru není PvP.
Jasné pokojne zničte PvP výbavy postavené čisto na prúmkach, napríklad nastavte max hodnotu nad ktorú to prestane fungovať. Fox hovorí primárne o tom že to pokazilo game play aurákom a daggerom aj ktorý kúzlia v schop výbavách. Napríklad dagger ide niekoho vysólovať, hodí niekoľko sekov a následne kordy. Napríklad pred updatom 6x 2k sekom + 10k + 10k +10k kordy, výsledný dmg 42k. Po update dá sekom 6x 500 + 10k + 10k +10k kordy, výsledný DMG 33k. To isté auráci, seknutia nepoužívajú len na to aby prúnikovali, je štýl ich hry aj pri nosení schopiek. Dokážu si ma na nejakú chvíľu "odstaviť" pokiaľ sa im nabíja cooldown a aj tými sekmi mi dokázali dať znateľný DMG. Dnes to hráča len šteklí a čakám zaseknutý kým sa mu nenabije nejaký spell. Takže Mio pochop že nikto nevraví pokazili ste hru nám prúmkarom. Každý hovorí že ste to pokazili schop postavám ktoré majú gameplay postavený aj na sekoch.
@ RAMHH « sob 9:05 pm »
@MoravskyPepin,  Ne tak docela.. Myslim, ze Mionix mluvil o vybavach 9x prum, kde realne jedine kouzlo co za valku das je zamasko a pripadne ta nova skvela nesmrtelnost..
@ schvarz « sob 8:15 pm »
Taky nejsem zastáncem argumentu "ta hra není špatně vybalancovaná, to jen vy málo spolupracujete"
@ gagefranjo « sob 8:14 pm »
A nějaká spolupráce je o ničem, když je ve hře možnost získat krále
@ gagefranjo « sob 8:13 pm »
Mionix píše: Napíši dnes poslední. Jeden mi psal ve hře, jak jsme mu zničili PvP výbavu. Jeho PvP bylo 9x průmka plus průniky kde to jde. Jestli si někdo myslí, že PvP je bez použití kouzel jen zaražený mezerník na klávesnici, tak se hodně spletl. To dle mého soukromého názoru není PvP.
Mít zaražený mezerník v pvm podle mě též není pvm, ale co já do toho budu kecat :)
@ schvarz « sob 8:07 pm »
To taky není perfektní metrika, ale healer a třeba BMko můžou kouzlit prakticky na cooldown a ten dmg od nich prostě lítá. Takovej mentál nebo WPčko nemají tu možnost ta kouzla na cooldown trefovat, musí trochu víc hrotit positioning. Ale furt je to další kus informace. Absolutní poškození kouzla bez ohledu na jeho cooldown a frekvenci použití je taky mizerná metrika.
@ schvarz « sob 8:06 pm »
@Mionix,  Mio ale ty se nemůžeš dívat an absolutní poškození kouzel. Ty musíš hodnotit pomocí faktoru damage za nějaký čas (třeba minutu). Když bys postavil healera k nějakýmu training dummy a nechal ho do něj castit 5 minut v kuse a potom to samé udělal i s ostatními postavami, to celkové množství uděleného poškození následně vydělil tím časem (ať už minutami - DPM - nebo sekundami - DPS), tak bys měl další metriku, kterou porovnávat sílu kouzel postav.
@ MoravskyPepin « sob 7:58 pm »
@Mionix,  To je jako říct, že magické postavy by neměly jen kouzlit?
@ Mionix « sob 6:57 pm »
Napíši dnes poslední. Jeden mi psal ve hře, jak jsme mu zničili PvP výbavu. Jeho PvP bylo 9x průmka plus průniky kde to jde. Jestli si někdo myslí, že PvP je bez použití kouzel jen zaražený mezerník na klávesnici, tak se hodně spletl. To dle mého soukromého názoru není PvP.
@ TomasFoxx « sob 6:55 pm »
ah no nic, jdu si užit valku za daggera dokuď je hratelnej, doufám že vám to balancování vyjde
@ RAMHH « sob 6:53 pm »
@TomasFoxx,  Je na to vcelku jednoduchy test, kde staci prunikovat do buffnuteho. Pokud mu budes brat presne tolik, kolik ma obranu, tak se to schopkaru nedotklo.
@ Mionix « sob 6:50 pm »
@TomasFoxx,  Ne menší sek pro všechny v PvP průnikama. Přestaň už konečně vztahovat vše jen na sebe. A tím končím. :-(
@ Mionix « sob 6:49 pm »
@TomasFoxx,  Já do těch válek chodil a i jiní GM, aniž vy by jste to tom věděli. Já se na ty výbavy koukal a to napříč říšemi. Ty útoky mají nejen Healeři, ale i jiné postavy. A je jedno zda je to žlutá říše, modrá či hnědá nebo zelená. Musíte více spolupracovat a ne jen sólovat každý za sebe. Vy tvrdíte, ten a ten má útoky. Tak sakra napíšu v říši, ať si ho vyzkouší všechny chary a on končí ne? Ale to je možná ten problém, protože každý jede jen sám za sebe. :-)
@ TomasFoxx « sob 6:49 pm »
a to že to neovlivnilo/neovlivní schopkaře, pls hybride, fakt jsem před updatem nesekal lidem 500 :D
@ TomasFoxx « sob 6:48 pm »
RAMHH píše: @TomasFoxx,  Jen bych dodal, že průniky se vrací víceméně zpět jak byly, akorát se jim odečte obrana * 1/3 * prumka od původního stavu. Navíc se to nedotklo schopkařů, jen prumkaru..
To že vzoreček bude stejnej neznamená, že se vrací jak byly, výsledek je stejnej tak jako tak, menší dmg sekama pro daggera

Who is chatting

offline Mionix