Защита от подмены на определённые SteamID, и взлом админки |
Здравствуйте, гость Вход | Регистрация
Наши новости:
|
|
Защита от подмены на определённые SteamID, и взлом админки |
sergggzi |
21.12.2013, 19:03
Сообщение
|
|
Там же в предыдущих постах есть инфа от кого... От всех глаз в паблике (ни в status, ни в мониторингах, ни в записи демо, ни через программу и тд...) = это "а", а не от всех, это кроме админа по флагу а, если он пропишет status или amx_who = это "б". Тогда забудьте про различные статистики по SteamID и прочему, что работает по SteamID. |
Поблагодарили 1 раз
|
|
RedL1ne |
21.12.2013, 19:06
Сообщение
|
|
Итак, способы посмотреть стим айди:
1. Запись демки 2. Status 3. Поискать на сайте в статистике или банах 4. Пригласить на любой левый сервер и посмотреть там. 5. Пригласить на сервер к себе и слить кроме стим айди еще и пароль если таковой имеется. и другие. Выше перечислены довольно таки простые способы, которые доступны любому школьнику. Вы же не скажете своим админам Цитата НИКОГДА не заходите на сервера, которые вам подсказали где то. Даже на секунду не заходите. Играйте только у меня! бла бла бла.... Вывод не майтесь дурью. Оригинальный стим айди пока никто не взломал. Могут взломать айди нонстима и на серверах без настроенных префиксов стим/нонстим айди пересекаются. Если префиксы настроить, стим и нонстим айди будут в разных плоскостях и уже хоть бы что взломщик делал, не получится ему получить доступ. STEAM_0:1:29598030 для оригинального стима и STEAM_5:1:29598030 для нонстима. Вуаля, айди он подменил, а права не получил. Все счастливы. А если вы выдаете нонстим ребятам админки по стим айди, это уже ваша личная проблема. Сами создаете дыру в безопасности, которую залатать можно, но очень неприятными способами. Если ваши админы или еще кто, не желают покупать стим из каких то больных соображений. Пускай покупают выделенные IP для себя и получают админки по айпи. Ps. У меня есть конечно несколько идей, которые более менее адекватны в реализации, но реализовывать их нет никакого желания |
Поблагодарили 5 раз
|
|
Safety1st |
21.12.2013, 19:16
Сообщение
|
Хорошая инфа, добавлю в шапку потом, почему 'скрывать SteamID' = 'маяться дурью'.
|
|
|
|
intercs |
21.12.2013, 19:20
Сообщение
|
|
Тогда забудьте про различные статистики по SteamID и прочему, что работает по SteamID. Ну да, эт понятное дело... Поэтому ответив на вопрос, надо ещё и в итоге отталкиваться от того, как же предсмотреть ведение статистики... Тут не просто. Ps. У меня есть конечно несколько идей, которые более менее адекватны в реализации, но реализовывать их нет никакого желания Спасибо за толковый ответ... А можно ли поделиться идеями если не жалко, вдруг эти идеи сможет осуществить кто-то другой? |
|
|
RedL1ne |
21.12.2013, 19:42
Сообщение
|
|
Я бы пошел путем доп авторизации, которую так просто нельзя сосчитать в отличие от сетинфо полей.
Варианты: ИнГейм. Делаем доп. базу с сохранением последнего айпи (либо всех, в массив) При входе человека у которого есть права по стим айди с совпадением айпи в базе - выдаем флаги и свободно пускаем играть. В случае, если айпи не совпадает - делаем запрос пароля в чат. Правильно - выдали флаги и записали айпи в белый список игрока. Можно дополнить менюшкой с 5-9 вопросами, из которого можно выбрать 1 и потом будут варианты ответов. Причем вопросы и ответы задавать абсолютно бредовые. Но каждый админ, что б знал свою Пару "Вопрос-Ответ". Этим мы сделаем авторизацию более долгой на 2 клика, но отсечем 95%+ попыток зайти даже зная пароль. А после 3й неправильной попытки входа как обычно бан на какое то время либо заморозка выдачи флагов для айпи. Внешний. Тут можно куда больше придумать. И программы авторизации и сайты и вообще что угодно. Даже можно использовать куки авторизацию. Я бы предпочел сайт. Например на сайте человек где то вводит свой ник и пароль. Либо привязать это к системе профилей форума/движка, который стоит. Сайт считывает айпишник, вбивает его в базу и на время пока человек авторизирован на сайте - в базе будет метка, что флаги по такой то админке активны, можно и айпишник белый передать. Сервер уже при коннекте посылает запрос к базе, получает инфу о активности флагов и белым айпи, тогда уже дает или не дает доступ к адм функциям. |
Поблагодарили 1 раз
|
|
nsgenn |
21.12.2013, 19:52
Сообщение
|
|
Сейчас другой вопрос становится проблемным, а именно: по какому критерию банить?
Связка протектор+id_changer+Dynamic_IP становится практически бессмертной. Админы не всегда дежурят, а античиты не все ловят. К тому же злоумышленник может маскироваться под STEAM ID постоянных игроков, а админ будет их банить. После выхода этого Changera самый долгий бан это по IP, т.е. пока у читера модем не перезагрузится. RedL1ne, Конечно можно сделать полностью авторизацию с предварительной регистрацие на сайте, но сам знаешь, что процентов 60 или больше онлайн отсеется.
Отредактировал: nsgenn, - 21.12.2013, 19:55
|
|
|
RedL1ne |
21.12.2013, 20:00
Сообщение
|
|
nsgenn,
Если мы говорим о защите адм прав, то регистрация предварительная - не проблема для маленького круга лиц. А для защиты от читеров - да, это вечная проблема. |
|
|
[WPMG]PRoSToTeM@ |
21.12.2013, 20:03
Сообщение
|
Через MOTD можно авторизовывать админов.Т.е. сначала смотрим SteamID, если тот, то показываем MOTD. На страничке чекаем куки, если то что надо, то выводим что-то типа "Успешная авторизация". Иначе показываем форму ввода логина-пароля.
|
|
|
|
nsgenn |
21.12.2013, 20:04
Сообщение
|
|
Через MOTD можно авторизовывать админов.Т.е. сначала смотрим SteamID, если тот, то показываем MOTD. На страничке чекаем куки, если то что надо, то выводим что-то типа "Успешная авторизация". Иначе показываем форму ввода логина-пароля. куки? а разве это куки не IE? кто сейчас сидит на IE? |
|
|
Safety1st |
21.12.2013, 20:04
Сообщение
|
|
|
[WPMG]PRoSToTeM@ |
21.12.2013, 20:05
Сообщение
|
|
|
nsgenn |
21.12.2013, 20:09
Сообщение
|
|
Давайте не будем превращать тему в оффтоп. Подобных тем уже миллион было. Создайте свою, для такой экспертов найдётся в разы больше. ты не понял, эти темы очень тесно связаны этим самым Changer'ом. Нет, я серьезно - как ты будешь защищать своих постоянных игроков и администаторов, если будет происходить бан по STEAM ID? Ты всех своих постоянных игроков тупо забанишь. |
|
|
[WPMG]PRoSToTeM@ |
21.12.2013, 20:11
Сообщение
|
nsgenn,
можем в скайпе списаться для написания прототипа авторизации в MOTD, если интересно конечно. |
|
|
|
RedL1ne |
21.12.2013, 20:15
Сообщение
|
|
nsgenn,
постоянные игроки могут быть прикрыты авторизацией после реги. [WPMG]PRoSToTeM@, Сейчас многие сборки кс, да и игроки тоже используют протектор. Мотд авториз для широких масс тоже не самое удобное решение. Хотя и хорошее (я таки о нем упоминал в предыдущих постах =) ) |
|
|
myself777 |
21.12.2013, 20:16
Сообщение
|
Я еще поставил плагин mazdan'a, который скрывает команду status. Теперь пусть попробуют ломать админку
Отредактировал: myself777, - 21.12.2013, 20:16
|
|
|
|
[WPMG]PRoSToTeM@ |
21.12.2013, 20:18
Сообщение
|
[WPMG]PRoSToTeM@, Сейчас многие сборки кс, да и игроки тоже используют протектор. Мотд авториз для широких масс тоже не самое удобное решение. Хотя и хорошее (я таки о нем упоминал в предыдущих постах =) ) Я описывал это как решение авторизации для постоянных игроков и админов.
Отредактировал: [WPMG]PRoSToTeM@, - 21.12.2013, 20:19
|
|
|
|
Safety1st |
21.12.2013, 20:30
Сообщение
|
ты не понял, эти темы очень тесно связаны этим самым Changer'ом. Тема не про changer, а про взлом админки. Из описания 'Steam id changer' убрал, не только в нём дело. По вашей теме 'железных' рекомендаций нет и обсуждать тут можно бесконечно. Топик же задумывался как сборник рекомендаций во избежание размножения аналогичных. Вернее, есть, но никто этому последовать не в состоянии - держать Steam-сервер. |
|
|
|
АльТ |
21.12.2013, 20:54
Сообщение
|
|
Решение с проблемой еще в ноябре того года предложил.
Если лень проходить: 1. Префиксы как сказано в первом посте. Задавать в другом порядке, а не 12345 как тут предлогали. 2. Ставим уникальное значение amx_password_field и всем ноустимам пароли на админки. Тут кто-то что-то о психологическом факторе говорил, ну так вот, с такими настройками хацкер задолбается брутить и перебирать.
Отредактировал: АльТ, - 21.12.2013, 20:56
|
|
|
RedL1ne |
21.12.2013, 21:04
Сообщение
|
|
АльТ,
Ему не надо что то брутить или перебирать. С вашими решениями, достаточно жертву на специально подготовленный сервер пригласить и у взломщика будут setinfo поля жертвы и точная инфа о эмуляторе. |
|
|
АльТ |
21.12.2013, 21:05
Сообщение
|
|
RedL1ne,
ага. Ради админки. |
|
|