Ник: SoundOfTheSky
Недавно создавал тему насчет того, что мой аккаунт был взломан. Я быстро поменял пароль на аккаунте, до того как взломщик успел что-либо сделать. Но из-за неприятной ошибки на сайте, сессия взломщика не была сброшена, и даже после смены пароля он имел доступ к моему аккаунту. Он подключил 2FA, потратил 500 голосов, написал в жалобы какие-то агро-школьничешские высказывания и перевел 2800 пент на игровой счет, с сайта.

Владелец проекта уже помог мне и даже восстановил 500 утерянных голосов. Но я сначала не заметил, что так же были переведены пенты, и не сообщил об этом, за что извиняюсь.

Могу я узнать, возможно ли вернуть 2800 пент на счет на сайте? Конечно корень проблемы в том, что мой пароль видимо был слит, но если бы система смены пароля работала нормально, то ничего бы из этого не произошло, поэтому я считаю, что я могу рассчитывать на возврат.

И если возможно, удалить то что он там нажаловался, а то уж больно глаза режет)

Я бы кстати был не против, если бы игровой счет работал нормально, но:

1. Скидки на сайте отсутствуют в игре, хотя заявлялось обратное (баг?).
2. При помощи игрового счета нельзя купить себе статус (будущая фича?).

И еще по теме того, что я считаю было бы классно:

1. Сделать так, чтобы сессия на сайте была хотя бы на неделю, а не на день (если не меньше). А то, вместе с 2FA становится муторно входить каждый день.
2. Плюс в клиенте 2FA почему-то не работает, что звучит как-то ну совсем не безопасно.
3. Не хранить пароль в клиенте, а лучше сделать систему сессий, так же как и на сайте.
4. Не очень понимаю фишку секретного кода, для входа на сервера. Если кто-то получит доступ к аккаунту ему все равно не составит труда зайти и просто его посмотреть. Тут можно сделать так, чтобы код нельзя было посмотреть, пока не введешь код из аутентификатора.
5. Переход с MySQL на PostgreSQL. Постгря тупо быстрее и современнее.

P.S. Сначала пытался связаться в вк, но неуспешно, поэтому написал тут.

Секретный код: Цирк? Да.

Может еще процессоры интел начать использовать???77

Плиз не нужно(99
Форум не выживет с такого количества интелов

Эта “фишка” работает только в комбинации с 2fa, так как с ней (2фа) доступ к аккаунту на сайте имеешь только ты

1. Чем дольше хранится файл сессии, тем менее безопасно хранить данный файл.
2. Работает.
3. Пароль хранится не в клиенте, он хранится в лаунчере и шифруется с помощью RSA лаунчером и дешефруется приватным ключом лаунчсервера.
4. Уже ответили.
5. Смена СУБД на проде? @Accidental, дай носик молодому, он уронил.

Давай договоримся: не пиши о том, в чем не разбираешься.

1,2,3. Я под клиентом имел ввиду лаунчер. Хорошо, звучит безопасно, но аутентификатор все равно не работает, и этот файлик не сбрасывается. Наверное… Я ни разу не видел чтобы меня просило в лаунчере заново ввести пароль и соответсвенно можно так же, как и файл сессии, украсть ваш зашифрованный пароль.
4. Если бы аутентификатор работал в лаунчере, то в этом не было бы необходимости.
5. Я не говорю “ИДИ РАБОТАТ”, я просто предлагаю, то что по-моему мнению могло бы повысить производительность.

И в чем тогда разница хранения идентификатора сессии и зашифрованного пароля? И то, и то могут украсть (только у глупенького юзверя)

Тебе же ответили:

Здесь не настолько высокая нагрузка на бд, чтобы переход на PostgreSQL дал какой-либо прирост производительности. К тому же в чтении MySQL зачастую превосходит PostrgeSQL, поэтому переход может даже пагубно сказаться на производительности.

Нет

Я спокойно устанавливал “перманентный код для входа на игровые сервера” без включения двухфакторной аутентификации. Так что любой человек, который узнает пароль от аккаунта, может спокойно увидеть мой код, если я не включил перед этим 2FA

Ты глупый или что, я же сказал что перманентный код полнценно работает в связке с 2фа. А включил ты или нет ее ,уже твоя головная боль, что подкреплено даже правилом

В том, что этот файл будет не вечным входом на сервер, а, допустим, только неделю будет работать, и RSA ключ нельзя будет забрутфорсить (я сомневаюсь что кто-то располагает достаточным количеством терпения, но вдруг).

И смысл? Сгенился файл прямо в лаунчере или в лаунчер был отправлен идентификатор сессии, этот файл украли. Всё, разницы никакой.
Приватный ключ никто брутфорсить не будет в любом случае.

Мне вот интересно, какое у тебя образование?

Потому что кража не будет означать “вечный” вход, даже без знания пароля, а так же сессией будет легче управлять удаленно (допустим сбросить ее).

Оффтопик

А зачем вечный вход нужен? Достаточно 10 минут, чтобы разломать базу/получить бан. Если завершить сессию, то с сервера не выбросит, это делается иначе, banmanager для слабых, да?

Я заметил.

Он не нужен, поэтому это менее безопасно.

Да, но таким образом мы хотя бы исключим то, что кто-то будет секретно, без ведома пользователя, красть у него вещи или что-то подобное.

Первое что мне выдало в гугле это какой-то плагин для банов. Я не очень понимаю что ты тут имеешь ввиду. Типа забанить его? Ну надо определить сначала, что аккаунт взломан, а в моем примере ты это никак не определишь. Разве что идея пришла… Если человек с одной и той же сессией заходит с разного IP, то делать его сессию недействительной. Из-за этого правда у обычных людей она может начать вылетать раз в 1-3 дня, так что вариант такой себе

Кстати то что завершение сессии не выбрасывает с сервера это тоже проблема серьезная) Сделать бы какой-то костыль вокруг этого. Я не знаю, как разруливаются сессии в майнкрафте, полагаю, можно просто сделать кик.

Я не очень понимаю, почему ты с таким пренебрежением отвечаешь мне? Пытаешься заткнуть, сказав, что мол я не разбираюсь, поэтому мне лучше помалкивать. Пытаешься что-то там спросить за мое образование. Не удивлюсь, если в следующем сообщении ты начнешь спрашивать мой возраст.

Я разговариваю с тобой нормально. Я знаю, что лаунчер скорей всего, как был взять у сашка, так он и не переписывался, но все его исходы полностью открыты, что позволяет сделать любые твики в него.
Так же я немного покурил тему майнкрафт серверов, и заметил что большая часть плагинов работает почему-то только с MySQL, поэтому вопрос о переходе снимается.

Если твое пренебрежение идет с того, что я мол заставляю вас что-то делать, на что у вас нет сейчас свободного времени или средств, то так и скажи, а не пытайся как-то выставить меня дураком.

И вообще я жду владельца проекта, чтобы (надеюсь) он вернул мне пенты. Там как раз сочные скидочки должны быть~

Фраза «А зачем вечный вход нужен» должна была понятна «А зачем взломщику вечный вход нужен».

Будем честны, мало кто будет воровать ресурсы, если человек взламывает аккаунты, то он хочет повеселится, а не ресурсов себе на базу утащить.

Зачем кому-то сбрасывать сессию, если можно забанить до выяснения?

Зачем данный костыль? Можно просто забанить.

Потому что реально бесполезную работу предлагаешь делать, ничего не изменится, но людям придётся поработать. Возраст мне не важен, так что не начну (кроме возраста Андрея Интела, но там все сложно).

Тут и есть Сашок третьей версии.

У «вас» это у кого? Я даже не в персонале.