Bezpečnost vašich údajů a hesel

Informace o vybraných událostech ve hře. Pro kompletní informace o novinkách sledujte web.
Užitečné odkazy: Pravidla, Seznam změn, Tým Ekura
Zamčeno
Uživatelský avatar
Saggitarius
Zakladatel tématu
Game Administrator
Game Administrator
Příspěvky: 1267
Registrován: sob 01. kvě 2010 14:53:16
Poděkoval:
Má poděkování: 2981×

Bezpečnost vašich údajů a hesel

Příspěvek od Saggitarius » pát 11. lis 2011 23:00:06

Občas se objeví téma či tiket, který tvrdí, že nikdy nikomu nedal údaje k přihlášení a stejně byl vykraden. Proto vzniká toto téma, jako taková ukázka jak se lze k heslům dostat.


Jak jsou tedy data a hlavně tedy hesla na sindicate zabezpečena ?

Takže, nejprve je zde hardware ochrana.

Databáze je chráněna firewalem, který zamezí přístupu každému, kdo se nepřipojuje z jednoho ze 3 PC.
1 z nich je web (sindicate), zbylé 2 jsou IP adresy našich PC.
Kdyby se však stala chyba a dokázal by někdo prolomit hardwarový firewall (například jiný web na stejném PC v rámci hostingu), je nutno se prokázat přístupovým heslem. Kdy každý i správný přístup je monitorován. Ještě se doteď ale nestalo, že by přes firewall někdo prošel.
Stejným způsobem je chráněn přístup k serveru jako takovému. A tak se na daný PC nedá přihlásit bez hesla a kontroly IP adresy. Kde by někdo měl přístup k fyzické databázi.

Druhou stránkou je software ochrana.
Hesla v databázi k jednotlivým účtům jsou v databázi zahashována pomocí funkce známé jako HASH.
Viz reference na konci příspěvku.
Z wiki je patrné, že HASH se dá velmi obtížně dekódovat (restaurovat) Lze jej maximálně tak uhádnout.
Firma ORACLE, která vytvořila mimo jiných databázový systém MySQL, si pečlivě výpočet a kódování svých hesel střeží.
Na našem systému je navíc zvýšená ochrana hesel a to přidáním do hesel tzv. SALT viz reference.
Takže i kdyby někdo přešel přes první část tohoto příspěvku až k heslům, čekal by jej vcelku nadlidský úkol. Zde by bylo pro útočníka snazší si upravit svou vlastní postavu/účet než se "babrat" s heslem cizího účtu.

Druhá možnost jak se dostat k surovým datům v databázi je výpis přes tzv SQL Injektáž viz reference.
Zde je však ochrana skripty, které zastaví takovéto pokusy. Ještě vyšší ochrany se dosáhlo zákazem používat speciální znaky ve všech formulářích, které se odkazují do databáze. (Již před tímto krokem však byly chráněny jinými skripty, jen se přešlo na nové účinnější).

Prozatím si nevzpomenu co bych ještě zde dopsal, ale jistě proběhne několik úprav.


A nyní se dostaneme k možnostem z druhé strany jak se dostat k vašim heslům. Druhou stranou je myšlen přístup od Vás.

Nejsnazší je sdílení účtů (dobrovolně dodány údaje). Zde nemá smysl cokoliv dodávat, snad jen to, že by se lidi divili co jsou schopni někteří udělat pro pár nul a jedniček.

Další možností je uhádnutí hesla. Zde se nejčastěji vykukové dostanou k údajů typem pokus omyl. Jistě se najde tento případ mezi vámi : Jméno postavy = jméno účtu = heslo. To jest první věc co vyzkouší útočník. A pokud přes toto projde, pak ano nedali jste nikomu údaje, ale absolutně jste neudělali nic pro jejich ochranu.

Dále zde máme možnost okoukání hesla : přihlašujete se na veřejném místě (knihovna, u kamaráda či u vás doma a kamarád stojí za zády). Čím častěji se přihlašujete, tím více má šancí heslo okoukat. Zde bohužel je problém s přehlašováním na jiné CH, kdy je nutno v launcheru znovu zadat údaje a tím dát novou možnost okoukání. Za toto se omlouváme, ale je to "nutnost ochrany".

Zábavnou částí jak přijít o účet jsou případy nazývané jako podvodné weby, slibující odměny na Váš účet. Ať už lépe či hůře tvořené s naší či bez naší grafiky. Pokud by od nás měla vzniknout taková to akce, tak bude vždy jen na našich stránkách. Nevím proč by jsme ji dávali na stránky poskytující "škaredé" domény třetího řádu.

Velmi podobnou kategorií jsou tzv. yang hacky, drop hacky, +9 hacky, trade hacky ap., které po Vás opět chtějí zadat Vaše jméno a heslo, které má zabezpečit funkčnost podvodu, ale místo toho jsou tyto údaje odeslány buď do hry, nebo na email, skype, icq .... atd.

Podobně na tom jsou tzv. keylogery. Tyto programy odchytávají to co píšete na klávesnici a jsou pak údaje odesílány útočníkovi. Tyto programy mohou být nabaleny na předchozí kategorii (takto si zabezpečí útočník přístup i k dalších účtům, na které se přihlásíte) či již na samotnou instalaci hry (proto vždy doporučujeme používat jen a pouze instalace uvedené na našem webu, které jsou "čisté". Co k nim přibalí jiní (ne vždy to tak musí být, ale neručíme za ně) to již nelze prověřovat.

A přicházíme k další variantě. Tou jsou programy pro správu na dálku. Kdy poskytnete možnost ovládat Váš počítač na dálku. Tuto schopnost má mnoho programů a mimo jiné také Skype (hojně využívaný). Kdy stačí, že máte tuto funkci povolenu (či vyžádánu) a útočník pak změní údaje přímo na vašem PC.

Další možností jak být okraden je, že budete hrát či přistupovat ke svému účtu na počítači, který je již některým výše uvedeným příkladem napaden. Čistotu počítače si například ve škole či knihovně nemáte kolikrát ani jak ověřit.

Stejné problémy se dají sepsat na téma bezpečnosti vašich emailu. Kde platí to samé a je to často opomíjeno. Například kombinace kdy je heslo shodné jak pro email tak pro účet.



Takže je třeba si dávat pozor kde, na čem či před kým se přihlašujete. Jak máte ochráněn počítač či přístupové údaje. A kdo všechno má k danému počítači přístup.

Nástrah na běžného hráče čeká mnoho, ale není v našich silách se o vaše PC postarat. My chráníme data jak je to jen z naší pozice možné. Zbytek záleží na Vás.

Další náměty klidně v diskuzi.

Edit 23:15 :
Ještě jedna připomínka, která se týká daného problému. Pokud někdo napíše tiket, ve kterém žádá údaje ke svému účtu, tak bohužel většinou narazí. V rámci ochrany osobních údajů, ke kterým jsme se ze zákona zavázali, nemůžeme poskytovat údaje třetím osobám. Franta Čahoun z Horní Dolní nemůže dostat informaci, na kterém účtu má postavu FrantaCahoun i kdyby byla jeho, když nenapíše na tiket z emailu, který patří k danému účtu atd.

_________________________________________________________
Reference:
HASH http://cs.wikipedia.org/wiki/Ha%C5%A1ovac%C3%AD_funkce
Typy hesel a SALT http://interval.cz/clanky/salted-hash-d ... zpecnosti/
SQL Injection http://cs.wikipedia.org/wiki/SQL_injection
[GA]Saggi
Ekura tým

Pokud máte nějaký problém, kontaktujte nás na http://www.ekura.cz/herni_ucet/support

Zamčeno

  • Nemáte právo psát zprávy v chatu.
@ Trubice « pon 11:04 pm »
@Akiryu,  To jsem neřekl jen to není fér psát všemi deseti a nebo to tam datlovat jinak :) jde o styl
@ Akiryu « pon 10:44 pm »
@schvarz,  Noo, rád bych nesouhlasil, ale patří ti to! :D
@ schvarz « pon 10:30 pm »
To mam za to, že jsem na steak chtěl sypat petržel. Dobře mi tak. :D
@ schvarz « pon 10:30 pm »
Krájel jsem petržel a ukrojil jsem s ní i půl nehtu a bříško prstu :D
@ Akiryu « pon 10:29 pm »
@schvarz,  Jak se ti to podařilo, ti ruplo něco ve věži, tak jsi běžel do kuchyně a prostě si ho ufik!
@ schvarz « pon 10:29 pm »
Jenže teď mám nějak pokažený ty nervový zakončení v tom prstu a on mě nechce poslouchat no :D
@ schvarz « pon 10:28 pm »
No nepsal jsem úplně tím klasickým způsobem psaním všemi deseti, ale jak jsem byl do počítačů od ranýho věku a programoval jsem od asi 12 let, tak jsem uměl psát opravdu rychle víceméně všema deseti :D
@ Akiryu « pon 10:27 pm »
@schvarz,  To jsi psal už všema deseti, co? :D
@ schvarz « pon 10:27 pm »
Já jsem psával 140WPM, než jsem si uřízl kus ukazováčku, teď se dostanu jen na těch 100 už :(
@ Akiryu « pon 10:23 pm »
@schvarz,  Ale čísla klamou, Trubice je prostě lepší :(
@ schvarz « pon 10:02 pm »
Vždyť máte zhruba stejnou přesnost :D
@ Akiryu « pon 10:01 pm »
@Trubice,  Jsi chodil na ženskou školu? :o :lol: Joo, já se taky snažil naučit se psát všema deseti, protože pak si myslím, že by to bylo ještě lepší, ale prostě se ani zdaleka nedokážu dostat na takovou rychlost, na jaké jsem teď :-D Klidně zkus i tohle, to je sice anglicky, ale máš tam souvislý věty. https://play.typeracer.com
@ MoravskyPepin « pon 10:01 pm »
@Akiryu,  Myslím si, že je to o cviku, osobně jsem spokojen :D
@ Trubice « pon 10:00 pm »
Tak my jsme se to učily ve škole v programu ATF (all ten fingers) a znám kluka co se to naučil psát i s rukama za zády Pozn. u mě je tady problém, že to nejsou souvislé věty a trochu špatný design (jsem zvyklý dělat mezery)
@ Akiryu « pon 9:59 pm »
@MoravskyPepin,  Pořád dobrý ale :p
@ MoravskyPepin « pon 9:58 pm »
Tak s 65 WPM vás asi neohromím :D No nic není každý den posvícení :D
@ Trubice « pon 9:57 pm »
to nesmí :)
@ Akiryu « pon 9:56 pm »
Tak normálně píšu trošku pomaleji a chyby skoro nedělám, ale když se snažím fakt na rychlost, tak mi moje prsty občas sjedou někam a udělají neplechu :(
@ Trubice « pon 9:56 pm »
těch chyb tam xD
@ Akiryu « pon 9:55 pm »
@ Akiryu « pon 9:53 pm »
Tak mi dej chvilku :D
@ Trubice « pon 9:53 pm »
no tak to by mě zajímalo kolik dáš :)
@ Akiryu « pon 9:51 pm »
@Trubice,  Já osobně píšu jen šesti prstama... :-D
@ Trubice « pon 9:51 pm »
no tak ono je to spíše pro ty co umí psát všemi deseti :)
@ Akiryu « pon 9:50 pm »
@Trubice,  Je to zábava na chladné letní večery... :D
@ Trubice « pon 9:44 pm »
Jsem ani nevěděl, že něco takového je :)
@ Akiryu « pon 9:42 pm »
@MoravskyPepin,  Já se ptal první :P
@ MoravskyPepin « pon 9:32 pm »
@Akiryu,  Kolik máš? :D
@ Akiryu « pon 9:06 pm »
Docela by mě zajímalo, jak rychle píšete? :P https://10fastfingers.com/typing-test/czech
@ MoravskyPepin « pon 8:26 pm »
@TopTopiik, Jen si ho tam nech 😂😂
@ TopTopiik « pon 8:15 pm »
@qSTRoNgMANp, jednoduchá odpověď :lol: :lol:
@ qSTRoNgMANp « pon 8:08 pm »
@schvarz,  zmen risi
@ schvarz « pon 7:58 pm »
Říkám to už 2 roky - nemá existovat bonus, který téměř zdvojnásobí vaši odměnu. To je prostě hovadina. Hra má být vybalancovaná i bez toho, což samozřejmě není. :D
@ schvarz « pon 7:58 pm »
A pokud úlomky vyměňuješ, tak hodnota úlomku vychází na chabých 2,5kk
@ schvarz « pon 7:57 pm »
A že v keri máš 1,5kkk/hod za dropování úlomků? :D Škoda jen, že to je 6 stánků úlomků, což se prodává zhruba týden :D Takže když chci 15kkk vydělat, tak mám postavit 60 stánků s úlomky nebo jak? :D Jako 1 postava na splnění keri 1 potřebuje tak 70-80 úlomků. To bych musel sehnat 4 kupce na 1 hodinu v keri :D To úplně nevychází :D
@ schvarz « pon 7:56 pm »
A já se teda nebudu plácat v entu za 1,1kkk/hod, když nějakej jouda ve swampu má to samý :D
@ schvarz « pon 7:54 pm »
V modrý říši běží bonusy skoro nonstop. Tak půjdem jako všichni do modrý a válka říší bude o ničem :D Well done
@ schvarz « pon 7:54 pm »
Hra má bejt nastavená, aby žádný bonusy nebyly.
@ disaster1591 « pon 7:40 pm »
Tjn, aspon vidiet kto bez bonusov nemoze zit a musi stale nahanat yangy :lol:
@ blood70CZ « pon 7:21 pm »
:D jako brecet kvuli pokladne v 2k20 je haluz no
@ Akiryu « pon 7:21 pm »
Kde jsou ty časy, kdy bonusy nebyly :--)
@ disaster1591 « pon 6:31 pm »
Vzdy som sa tomu flathovi divil, teraz ho chapem s tymi danami :ignor:
@ Skullhlav « pon 6:30 pm »
Nene já nemusím mám svou říší :hello:
@ Kurinozka « pon 6:25 pm »
Králům se sebraly sloupy a teď i bonusy? Za chvíli nebude motivace toho krále ani dělat :D Udělal bych to tak, aby pokladna měla svoje minimum a maximum
@ Mionix « pon 6:20 pm »
@MoravskyPepin:lol:
@ MoravskyPepin « pon 6:19 pm »
@Mionix,  Ve žluté máme klid, ať nikam nechodí
@ qSTRoNgMANp « pon 6:19 pm »
@Skullhlav,  nechci ti nikterak radit, ale bacha na to co říkáš, sice ban asi nedostaneš, ale už budeš nadosmrti v mířidle týmu. :D
@ Lejno « pon 6:18 pm »
Už som zlty, kasa bude pretekať 😀
@ Mionix « pon 6:15 pm »
@Skullhlav,  My máme řešit vaše interní spory v říši? Nelíbí se vám to? Jděte do žluté, tam je kasa prázdná pořád, ne jen někdy. To by jste poznali teprve bolest. A opravdu netuším, co kdo do mě vrazil?
@ qSTRoNgMANp « pon 5:55 pm »
Preckvakněte se z toho, že bonus je samozřejmost, na to že samozřejmost není bonus, a když je tak toho využit, mimochodem, pokud chodite do entu za BMko, tak stačí jit do keri a máte za hodku jen při prodeji ulomku cca 1,5kkk. :)
@ schvarz « pon 5:19 pm »
Ale já kupříkladu nemám motivaci to zase spravovat :D Já se na tu hru jednoduše vykváknu, stejně jako X dalších lidí.
@ TopTopiik « pon 5:19 pm »
Já tam nechal i tak 10kkk, nemůžu za to, že Brahim tam nechal 3 :D
@ schvarz « pon 5:18 pm »
Sice z toho nejsem nadšenej, že jste to úplně vybrakovali tu kasu, ale když to Saggi takhle nastavil tu hru, tak co já můžu
@ Skullhlav « pon 5:18 pm »
Mionix píše: Do naschválů a nevraživosti v rámci stejné říše opravdu zasahovat nebudeme. Tak ať je klidně říše celý týden bez bonusů včetně bonusů ve válkách. Váš problém. :-)
Ale když se peníze vražej do vás joooo to se vám líbí :lol: :lol:
@ schvarz « pon 5:18 pm »
Jak říkám - když to ten systém umožňuje, tak tě z toho nemůžu úplně vinit
@ TopTopiik « pon 5:17 pm »
Ušetři mě hádky o tom, že to nekazíte
@ TopTopiik « pon 5:17 pm »
schvarz píše: To mi řekni, jakou bych měl motivaci dělat krále, abych ho dostal, měl 2kkk v kase, nastavil daň na 6% a další týden to dostal Brahim/Dux a zas nastavili daň na 3%? :D
Já dal daně na 3% jen kvůli tomu, že Kompletka byl první v cb. Kdybyste nekazili války červený říši, tak bych to neudělal :).
@ schvarz « pon 5:14 pm »
Už 2 roky říkám, že ten královskej systém stojí za starou belu :D

Kdo chatuje

offline Betty 
offline Fozzy 
offline Lejno 
offline Mionix 
offline RAMHH 
offline Selema 
online Trubice 
offline pikasek 
offline schvarz