Защита от подмены на определённые SteamID

Тогда забудьте про различные статистики по SteamID и прочему, что работает по SteamID.

Итак, способы посмотреть стим айди:
1. Запись демки
2. Status
3. Поискать на сайте в статистике или банах
4. Пригласить на любой левый сервер и посмотреть там.
5. Пригласить на сервер к себе и слить кроме стим айди еще и пароль если таковой имеется.
и другие. Выше перечислены довольно таки простые способы, которые доступны любому школьнику.

Вы же не скажете своим админам


Вывод не майтесь дурью. Оригинальный стим айди пока никто не взломал. Могут взломать айди нонстима и на серверах без настроенных префиксов стим/нонстим айди пересекаются. Если префиксы настроить, стим и нонстим айди будут в разных плоскостях и уже хоть бы что взломщик делал, не получится ему получить доступ.

STEAM_0:1:29598030 для оригинального стима
и
STEAM_5:1:29598030 для нонстима.

Вуаля, айди он подменил, а права не получил. Все счастливы.

А если вы выдаете нонстим ребятам админки по стим айди, это уже ваша личная проблема. Сами создаете дыру в безопасности, которую залатать можно, но очень неприятными способами.
Если ваши админы или еще кто, не желают покупать стим из каких то больных соображений. Пускай покупают выделенные IP для себя и получают админки по айпи.

Ps. У меня есть конечно несколько идей, которые более менее адекватны в реализации, но реализовывать их нет никакого желания

Хорошая инфа, добавлю в шапку потом, почему 'скрывать SteamID' = 'маяться дурью'.

Ну да, эт понятное дело... Поэтому ответив на вопрос, надо ещё и в итоге отталкиваться от того, как же предсмотреть ведение статистики... Тут не просто.



Спасибо за толковый ответ...

А можно ли поделиться идеями если не жалко, вдруг эти идеи сможет осуществить кто-то другой?

Я бы пошел путем доп авторизации, которую так просто нельзя сосчитать в отличие от сетинфо полей.

Варианты:
ИнГейм.
Делаем доп. базу с сохранением последнего айпи (либо всех, в массив)
При входе человека у которого есть права по стим айди с совпадением айпи в базе - выдаем флаги и свободно пускаем играть.
В случае, если айпи не совпадает - делаем запрос пароля в чат. Правильно - выдали флаги и записали айпи в белый список игрока.
Можно дополнить менюшкой с 5-9 вопросами, из которого можно выбрать 1 и потом будут варианты ответов. Причем вопросы и ответы задавать абсолютно бредовые. Но каждый админ, что б знал свою Пару "Вопрос-Ответ".
Этим мы сделаем авторизацию более долгой на 2 клика, но отсечем 95%+ попыток зайти даже зная пароль. А после 3й неправильной попытки входа как обычно бан на какое то время либо заморозка выдачи флагов для айпи.

Внешний.
Тут можно куда больше придумать. И программы авторизации и сайты и вообще что угодно. Даже можно использовать куки авторизацию.

Я бы предпочел сайт.
Например на сайте человек где то вводит свой ник и пароль. Либо привязать это к системе профилей форума/движка, который стоит.
Сайт считывает айпишник, вбивает его в базу и на время пока человек авторизирован на сайте - в базе будет метка, что флаги по такой то админке активны, можно и айпишник белый передать.
Сервер уже при коннекте посылает запрос к базе, получает инфу о активности флагов и белым айпи, тогда уже дает или не дает доступ к адм функциям.

Сейчас другой вопрос становится проблемным, а именно: по какому критерию банить?

Связка протектор+id_changer+Dynamic_IP становится практически бессмертной. Админы не всегда дежурят, а античиты не все ловят.
К тому же злоумышленник может маскироваться под STEAM ID постоянных игроков, а админ будет их банить. После выхода этого Changera самый долгий бан это по IP,
т.е. пока у читера модем не перезагрузится.

RedL1ne,

Конечно можно сделать полностью авторизацию с предварительной регистрацие на сайте, но сам знаешь, что процентов 60 или больше онлайн отсеется.

nsgenn,
Если мы говорим о защите адм прав, то регистрация предварительная - не проблема для маленького круга лиц.

А для защиты от читеров - да, это вечная проблема.

Через MOTD можно авторизовывать админов.Т.е. сначала смотрим SteamID, если тот, то показываем MOTD. На страничке чекаем куки, если то что надо, то выводим что-то типа "Успешная авторизация". Иначе показываем форму ввода логина-пароля.

куки? а разве это куки не IE? кто сейчас сидит на IE?

Давайте не будем превращать тему в оффтоп.
Подобных тем уже миллион было.
Создайте свою, для такой экспертов найдётся в разы больше.

Супербан же по такому же принципу работает. В сам IE и не надо заходить. Вся авторизация в MOTD же будет проходить.

ты не понял, эти темы очень тесно связаны этим самым Changer'ом.
Нет, я серьезно - как ты будешь защищать своих постоянных игроков и администаторов, если будет происходить бан по STEAM ID?
Ты всех своих постоянных игроков тупо забанишь.

nsgenn,
можем в скайпе списаться для написания прототипа авторизации в MOTD, если интересно конечно.

nsgenn,
постоянные игроки могут быть прикрыты авторизацией после реги.

[WPMG]PRoSToTeM@,
Сейчас многие сборки кс, да и игроки тоже используют протектор. Мотд авториз для широких масс тоже не самое удобное решение. Хотя и хорошее (я таки о нем упоминал в предыдущих постах =) )

Я еще поставил плагин mazdan'a, который скрывает команду status. Теперь пусть попробуют ломать админку

Я описывал это как решение авторизации для постоянных игроков и админов.

Тема не про changer, а про взлом админки. Из описания 'Steam id changer' убрал, не только в нём дело.
По вашей теме 'железных' рекомендаций нет и обсуждать тут можно бесконечно. Топик же задумывался как сборник рекомендаций во избежание размножения аналогичных. Вернее, есть, но никто этому последовать не в состоянии - держать Steam-сервер.

Решение с проблемой еще в ноябре того года предложил.
Если лень проходить:
1. Префиксы как сказано в первом посте. Задавать в другом порядке, а не 12345 как тут предлогали.
2. Ставим уникальное значение amx_password_field и всем ноустимам пароли на админки.

Тут кто-то что-то о психологическом факторе говорил, ну так вот, с такими настройками хацкер задолбается брутить и перебирать.

АльТ,
Ему не надо что то брутить или перебирать. С вашими решениями, достаточно жертву на специально подготовленный сервер пригласить и у взломщика будут setinfo поля жертвы и точная инфа о эмуляторе.

RedL1ne,
ага. Ради админки.