Смена STEAMID/подмена STEAMID/обход бана/халявная админка.

kritik не прав: в dproto 'соль' прибавляется к SteamID.


Провёл такой тест: оба клиента на 4554 билде, 'жертва' с RevEmu, 'хакер' с SC2009 и спуфинг 'по Revemu' в айдичейнджере. Вот оба клиента на сервере без соли после перезахода 'хакера' с чужим ID:


Вот они же на сервере с солью после этого:

Ну я тебе выше сказал что хешируется готовый стимид, а не равдата/тикет/AuthString.

Хотел леву отписать по этому поводу, а он чёто афк.

я тоже не понял этого прикола
[WPMG]PRoSToTeM@ плагин мой так делает

В общем, неверно затестировал я с SC2009: там то же самое.

Оба клиента на 4554 билде с SC2009 и спуфинг 'по Revemu' в айдичейнджере.
Вот оба клиента на сервере без соли после перезахода 'хакера' с чужим ID:

Префиксы разные, потому что разные эмуляторы.

Вот они же на сервере с солью после этого:


Ну и какая авторизация:


Ошибочные данные получил, потому что на серверах стояло разное значение параметра SC2009_RevCompatMode. При одинаковых значениях ID'ники одинаковые, как и положено, потому что в dproto 'соль' прибавляется к SteamID.

Пост выше поправил, ошибочные данные затёр.

Мда уж... тоже проверил, так и есть! Послучается, что соль прибавляет безопасность ровно так же как и _pw. Заманив к себе на сервер(можно даже не к себе, а на любой без соли, что гораздо проще) можно получить заветные циферки...
Короче, кроме как рельным стимом или статическим айпи не обойтись.

Ну не также, 'соль' поудобнее будет: всем игрокам _pw не поставишь, а тут разом 'защита'.
Конечно, хорошо бы в dproto хэширование поинтереснее появилось)

А для нормальной 'безопасности' админок - да, 'рельным стимом или статическим айпи'.

RevEmu, SC2009, RevEmu 2013 по сути эмуляторы одного вида, даётся гарантия что на разных эмуляторах этого вида на одном компьютере будет генерироваться один SteamId. (по сути между ними AuthString не меняется, меняется только формат пакета (тикета))


От заманивания на свой сервер не спасёшь ни setinfo, ни тикет (сколько не хешируй).

CSer4you,
Только если на свой!

Если на "любом другом" тоже соль,то борода, а не исходный стим ид!

Пусть купят стим!Если уж ваш сервер постоянно имеют или ваши админы покупаются на дешевый развод "пойти погамать на мой сервер".

P.S.

Я еще школьником был, заманивал одминв на свой сервер и ломал им кс в отместку за бан! Ибо с читами ни когда не играл!

Да я специально полазил по серверам, штук 30 перебрал и только 5-6 с солью... это явно проще чем с сетинфо.
Да мой сервер пока никто не имеет, я его пока только делаю и вот узнаю про все. Но хотелось бы, пока делаю, сделать все ок, чтоб потом не пришлось доделывать в панике
Ленивый делает дважды

CSer4you,
хочешь раз и на века?) защита всегда прогрессирует медленее

'Раз и на века' только Steam-сервер

Всем коммунизм посоны.

*** 1 и те жи вопросы!

реально ли в STEAMID через софтину натолкать букв или любых других символов, мешающих работе бан системы?

ну разумеется нет, он же генерируется на сервере.

значит все софтины по подмене steamid просто подсовывают серверу uid, по которому уже генерируется нужный steamid?

да

скажите, функция is_user_steam() покажет non-steam, если проверить на игроке с подделанным steam id под steam (префикс 0)?

конечно
dproto пофиг какой-то там authid генерировать
но он знает, какой эмулятор использует клиент

Еще тогда вопрос, есть способ узнать метод авторизации админа, тобишь флаги ce, a и так далее?