Akumu 1117 Опубликовано 1 декабря, 2016 Последние несколько месяцев мы в SmartGuard занимались по настоящему важными вещами - разработкой простого, гибкого и качественного решения по защите вашего сервера авторизации от очень распространенного типа атак - брутфорса. Такое явление как брутфорс игровых аккаунтов известно, как минимум с 2009 года и продолжает набирать обороты. До текущего момента не существовало эффективного решения данной проблемы, многие сервера вынуждают игроков использовать случайные префиксы для новый игровых аккаунтов, добавлять пин-коды на персонажей, пытаются ограничивать кол-во авторизаций с одного IP адреса. Эти решения как минимум не эффективны, а как максимум создают серьезный дискомфорт для игроков. Почему это необходимо? Для защиты вашего логин сервера от атак на приложение, когда специализированные ботнеты копируют алгоритм авторизации игрового клиента и заставляют серверное оборудование расходовать большое кол-во ресурсов на проверку мусорных данных. Мы живем в век информационных технологий и к сожалению это откладывает свой отпечаток. Многие сервера становятся жертвами взломов и базы данных с тысячами игровых аккаунтов и паролей попадают в руки злоумышленников. SafeAuth позволит защитить ваших игроков от действия специальных программ сотнями перебирающих комбинации аккаунтов и паролей с целью поживиться игровыми ценностями. Игрокам не удобно использовать префиксы игровых аккаунтов и страдать от ограничений на авторизации. Довольный игрок - лояльный игрок, который при входе в игру не будет омрачен неудобствами с первых секунд её запуска. Как это работает? SafeAuth является плагином к игровому клиенту под защитой SmartGuard. После установки в игровой клиент он изменяет взаимодействие с сервером авторизации добавляя к каждой попытке подключения свои индивидуальные параметры, которые тут же проверяются на сервере. При использовании данной защиты станет невозможным отправить запрос авторизации не из игрового клиента Lineage 2. SafeAuth работает как на Java серверах, так и на PTS (hAuthd). Стоимость программы - 5,000 рублей. Информацию по программе можно получить по контактам на сайте https://smart-guard.eu/ru/ Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
YwAcTuK 29 Опубликовано 1 декабря, 2016 А как на счет запросов из php??? Брутят же через лк еще иногда на сайте. Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
ffffffffffffffffff 643 Опубликовано 1 декабря, 2016 А как на счет запросов из php??? Брутят же через лк еще иногда на сайте. При использовании данной защиты станет невозможным отправить запрос авторизации не из игрового клиента Lineage 2. Слишком сложно Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
Akumu 1117 Опубликовано 1 декабря, 2016 Работа сайта личного кабинета вашего сервера в данном контексте улучшена быть не может. Защита сайта это совершенно иная сфера. Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
Influence 3 Опубликовано 2 декабря, 2016 (изменено) Работа сайта личного кабинета вашего сервера в данном контексте улучшена быть не может. Защита сайта это совершенно иная сфера. почему нет?) напиши двиг под сайтик) потом останется начать продавать сборки, и можно переименовываться в скриптов... п.с. разве брут сейчас в ла2 очень актуален? при наличии защити уже не так просто зайти без клиента Изменено 2 декабря, 2016 пользователем Influence Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
Desquire 451 Опубликовано 2 декабря, 2016 На на счет защиты я бы поспорил, защищает только от простых средст. по перебору... Тем кто захочет, проблему не составит брута через клиент. Все равно нужно будет ограничивать кол-во верых ввода пароля, что опять не даст гарантию защиты. ( что мешяет мне каждый 5 старвлять свой акк?) Сервер exille.ru ( не реклама) Во вторник утром спокойно брутил через клиент ( да там нету SafeAuth, но софт то работает) Софт спокойно вводил логин и пароль, выбирало сервер.... Есть опции для входа на каждый Н свой акк ( чтобы не получать бан если Н раз не правильно). Как по мне, лучше ух оставлять префиксы. и тройные. Они во много раз замедляют процесс и не нужно тратить деньги. ( Ну чекать почты не кто не отменяет) Это так, мысли вам для размышлений. При возможности, на след. неделе запишу видео.... Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
Influence 3 Опубликовано 2 декабря, 2016 На на счет защиты я бы поспорил, защищает только от простых средст. по перебору... Тем кто захочет, проблему не составит брута через клиент. Все равно нужно будет ограничивать кол-во верых ввода пароля, что опять не даст гарантию защиты. ( что мешяет мне каждый 5 старвлять свой акк?) Сервер exille.ru ( не реклама) Во вторник утром спокойно брутил через клиент ( да там нету SafeAuth, но софт то работает) Софт спокойно вводил логин и пароль, выбирало сервер.... Есть опции для входа на каждый Н свой акк ( чтобы не получать бан если Н раз не правильно). Как по мне, лучше ух оставлять префиксы. и тройные. Они во много раз замедляют процесс и не нужно тратить деньги. ( Ну чекать почты не кто не отменяет) Это так, мысли вам для размышлений. При возможности, на след. неделе запишу видео.... а еще сделать привязку по ИП всего акка, как пример на абисе делается (можно настраивать на конкретный ип или на подсеть), с оповещением при попытке логина с левого ИП, что не дает никаких шансов получить доступ к аккаунту, + всякие подтверждения через телефон, изи Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
Desquire 451 Опубликовано 2 декабря, 2016 а еще сделать привязку по ИП всего акка, как пример на абисе делается (можно настраивать на конкретный ип или на подсеть), с оповещением при попытке логина с левого ИП, что не дает никаких шансов получить доступ к аккаунту, + всякие подтверждения через телефон, изи Это отдельная тема , нет? я не описывал способы защиты, или все способы взлома. я написал про конкретный модуль. Если вы уже на столько беспокоитесь об акка, то модуля будет мало при любом раскладе. Пин коды, префиксы, привязки по ид или железу, все это бесполезно, если все подтверждения через емейл. Как вариант ( не бюджетный): При создании акка, необходимо ввести реальный номер телефона, на него будет приходить ссмс. При создании чара, на телефон отсылать рандомый пин для чара. Смена пина, только через телефон. Ну и возможно для отключения пинов на акке, обязательная привязка по железу или ип ( опять же снятие только через телефон). На сайте можно тогда и без префиксов, с капчей на авторизации. Любыей действия в лк только через телефон. ( смена пароля, мыла, или т.п.) Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
Influence 3 Опубликовано 2 декабря, 2016 Это отдельная тема , нет? я не описывал способы защиты, или все способы взлома. я написал про конкретный модуль. Если вы уже на столько беспокоитесь об акка, то модуля будет мало при любом раскладе. Пин коды, префиксы, привязки по ид или железу, все это бесполезно, если все подтверждения через емейл. Как вариант ( не бюджетный): При создании акка, необходимо ввести реальный номер телефона, на него будет приходить ссмс. При создании чара, на телефон отсылать рандомый пин для чара. Смена пина, только через телефон. Ну и возможно для отключения пинов на акке, обязательная привязка по железу или ип ( опять же снятие только через телефон). На сайте можно тогда и без префиксов, с капчей на авторизации. Любыей действия в лк только через телефон. ( смена пароля, мыла, или т.п.) ну, я об этом и говорил, за безопасность аккаунта в первую очередь должен беспокоиться его владелец и использовать максимально то, что предлагает сервер где он играет, и если кто-то выбирает привязку через мыло, а не через телефон, пусть с достоинством принимает все последствия своего же решения Если вы уже на столько беспокоитесь об акка, то модуля будет мало при любом раскладе. а от чего тогда должен спасать модуль? от того что аккаунт стащат, или от какой то абстрактной нагрузки на логин сервер? Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
Akumu 1117 Опубликовано 2 декабря, 2016 Привет. Спасибо за внимание к этой теме. Проблема брута к сожалению актуальна и по сей день, около месяца назад к нам обратился один из наших крупных клиентов с аудиторией около 3,000 игроков. Его инфраструктура испытывала серьезные проблемы в связи с активностью брутфорс атак и тестовая версия SafeAuth полностью решила для него эту проблему. Брутить через запущенный клиент эффективно не выйдет, там есть свои дополнительные ограничения, скорость брута будет не выше чем перебор аккаунтов вручную, что в целом будет тратой времени для атакующего. 2 Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
sniper 47 Опубликовано 2 декабря, 2016 Для проектов от 1000онлайна самое то Сейчас есть к ХВИД привязка + пасс на чаре в игре его то не как не достать Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
Desquire 451 Опубликовано 2 декабря, 2016 Привет. Спасибо за внимание к этой теме. Проблема брута к сожалению актуальна и по сей день, около месяца назад к нам обратился один из наших крупных клиентов с аудиторией около 3,000 игроков. Его инфраструктура испытывала серьезные проблемы в связи с активностью брутфорс атак и тестовая версия SafeAuth полностью решила для него эту проблему. Брутить через запущенный клиент эффективно не выйдет, там есть свои дополнительные ограничения, скорость брута будет не выше чем перебор аккаунтов вручную, что в целом будет тратой времени для атакующего. Ну да, по скорости будет примерно так же, удобно ставить когда спишь.... Но вот от простых паблик брутов ( аля 1.5 или 2.0) спасать будет, тут ты прав) Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
Influence 3 Опубликовано 2 декабря, 2016 Привет. Спасибо за внимание к этой теме. Проблема брута к сожалению актуальна и по сей день, около месяца назад к нам обратился один из наших крупных клиентов с аудиторией около 3,000 игроков. Его инфраструктура испытывала серьезные проблемы в связи с активностью брутфорс атак и тестовая версия SafeAuth полностью решила для него эту проблему. Брутить через запущенный клиент эффективно не выйдет, там есть свои дополнительные ограничения, скорость брута будет не выше чем перебор аккаунтов вручную, что в целом будет тратой времени для атакующего. проблема была вызвана тем, что удавалось сбрутить аккаунты? или тем, что была какая то весомая нагрузка на логин? Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
Akumu 1117 Опубликовано 2 декабря, 2016 проблема была вызвана тем, что удавалось сбрутить аккаунты? или тем, что была какая то весомая нагрузка на логин? Одна проблема являлась следствием другой. Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
Serik 23 Опубликовано 2 декабря, 2016 Всегда найдутся умники которые обойдут пароли и привязки , так что защита это еще 1 + к качеству проекта . Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
Norman 78 Опубликовано 2 декабря, 2016 (изменено) Одна проблема являлась следствием другой. Обнову бы на СГ и коррекцию мелких ошибок по плагинам а не Репиар чего то нового которое не супер столь нужно многим PS Акум для СГ можно было бы и в комплекте сделать , или забей и занимайся только СГ зачем тебе лишний гемор Изменено 2 декабря, 2016 пользователем Himka 1 Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
Urban 78 Опубликовано 21 мая, 2017 Желаю удачи в разработке. ... думаю будет полезная данная вещь. ... Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
Flylink 85 Опубликовано 26 марта, 2021 Актуально? Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
Akumu 1117 Опубликовано 26 марта, 2021 5 часов назад, Flylink сказал: Актуально? Да Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
