↑ ↓
Dismiss Notice

Welcome to Averia! To get additional information, or make quieries, please choose International section

Dismiss Notice

Hello, Stranger! 

Here you can earn avers for each message. It is a nice opportunity for to make some extra money. As a bonus, we will open hidden themes for you. They are invisible for the Guests. Sign up now!

Dismiss Notice

New High Five server x55 - launch on April 6, 2018! Hurry to read description and to get a bonuses!
FIND OUT MORE INFORMATION

Dismiss Notice
Guest, оставь свой отзыв о сервере Rise x55 в : специальной теме. Опиши все плюсы и минусы, замеченные тобою на данный момент. Нам важно мнение каждого пользователя. Возможно, именно твой отзыв поможет сделать наш проект еще лучше!

На рассмотрении Информационная безопасность

Discussion in 'Предложения игроков' started by Hitch, Apr 11, 2018.

  1. Hitch

    Hitch Новичок

    Reputations:
    0
    Messages:
    10
    Credit:
    17.89
    1. Цитата:
    [​IMG]
    Что это за фигня?!?!? Пароли не должны храниться у вас в открытом или зашифрованном виде - допустимо использовать только односторонний хэш!
    2. Пароли не должны приходить на емайл пользователя, это создаёт дополнительные риски для каждого пользователя в частности.
    3. Бэкапы для проектов такого уровня должны делаться ежечасно, а не от случая к случаю!!! Вы можете сказать что объём данных очень большой и без остановки сервера бэкапа не сделать, но это не так - проблема решается очень просто, в основе подхода лежит грамотно настроенная репликация бд.
    4. Если вдруг бэкапы делались, то как вы умудрились их потерять? Делаться они должны не на тот же самый сервер а на удаленный. Доступов к удалённому серверу на основном нет, а у удалённого к основному есть - коннектимся по ssh и с помощью rsync сливаем бэкапы в безопасное хранилище. Естественно к удалённому серверу доступы известны на много более ограниченному числу лиц чем к основному - в идеале только одному - вам - руководителю проекта!
    5. Этот пункт не технический, а скорее в плане менеджмента: что за тотальная и очень избирательна цензура на форуме? Я про предмодерацию всех сообщений. Сообщения с матом, оскорблениями, полной чушью и откровенным флудом с целью набить монеток на форуме - проходят. А когда пытаешься написать что-то по делу, выступить с конструктивной критикой - то это сразу затирается. Таким подходом вы отпугнете достаточную часть клиентов... ой игроков)))

    ПС 1: Я ни в коем случае не умничаю, просто описываю достаточно очевидные вещи, которые должен понимать каждый человек, занимающийся серверной разработкой. Но почему то у вас это не реализовано, странно...
    ПС 2: При необходимости могу проконсультировать вас по этим вопросам, обращайтесь на емайл данного аккаунта.
    ПС 3: Если хотите чтобы я не делал больше таких тем (перестал бороться за лучшее будущее для проекта), то просто как обычно затрите тему - я всё пойму)))
     
  2. KillMeEpt

    KillMeEpt Участник проекта

    Reputations:
    1
    Messages:
    98
    Credit:
    34.75
    1 У проектов покрупнее были сливы баз
    2 Риск то да, но это уже пользователь должен заботиться о безопасности своего ящика
    3 На сколько я смог понять со взломанной машины был доступ к бэкапам и поэтому так вышло)
    4 смотреть выше
    5 Админ всегда прав
    P.S никогда бы не подумал что в 2к18 аверию можно нагнуть простым брутом
     
    Last edited: Apr 11, 2018
  3. Hitch

    Hitch Новичок

    Reputations:
    0
    Messages:
    10
    Credit:
    17.89
    Ах да ещё кое что вспомнил - префиксы игровых аккаунтов!!! Короче чтобы поменять префикс отправляется запрос на их сервер, я писал скрипт чтобы зарегать себе аккаунты с нужными префиксами - так вот - можно десятками тысяч раз слать этот запрос на сервер с минимальный задержкой (по несколько десятков а то и сотен запросов в секунду) - и ничего, никакой защиты - перебирай до бесконечности пока не выпадет нужный тебе!!! Мой последний префикс подобрался примерно после 36 тысяч попыток, но это было достаточно быстро, всего лишь минут 10-15, а можно ведь делать это не в 1 поток))) Могу выложить пример скрипта чтобы вы убедились, но тогда думаю сообщение точно не пропустят.
     
  4. Sueno

    Sueno Служитель Аверии

    Reputations:
    8,635
    Messages:
    7,813
    Credit:
    275.97
    насчет паролей согласна, то что файлик еще присылают нам с сохраненным паролем - это ад, они вообще никак не защищены ))
     
  5. RickRozz

    RickRozz Новичок

    Reputations:
    0
    Messages:
    10
    Credit:
    9.90
    Хм,почему то я вообще не могу сменить пароль-пишет не совпадает старый.
    Что скажите?
     
  6. Kasatka

    Kasatka Участник проекта

    Reputations:
    2,670
    Messages:
    9,807
    Credit:
    106.00
    Нужно 15 сообщений и предмодерация исчезает.
     
  7. NoobFromBLR

    NoobFromBLR Участник проекта

    Reputations:
    6
    Messages:
    414
    Credit:
    61.40
    а пин-код от чара тоже где-то хранится?
     
  8. MaHsepp

    MaHsepp Участник проекта

    Reputations:
    18
    Messages:
    306
    Credit:
    95.26
    deleted
     
    Last edited: Apr 13, 2018
Loading...