Форумы мира Хаддан

Форумы мира Хаддан (http://forum.haddan.ru/index.php)
-   Предложения (http://forum.haddan.ru/forumdisplay.php?f=14)
-   -   https (http://forum.haddan.ru/showthread.php?t=106818)

Neznajkaa 17.08.2013 14:28

https
 
https://haddan.ru/main.php - страничка не найден что озночает что этот домейн не слишком надёжен т.к. не имеет проокола https, т.е. сушествует вероятность ворования трафика с данного хоста возможностей много.

что я предлогаю зарегестрировать https:// это не дорого и поставить в файл конфигурации простые строчки.

if (empty($_SERVER['HTTPS']) || $_SERVER['HTTPS'] != 'on') {
die(header("location: https://$currentUrl"));
}
так же сушествуют другие методы редиректа которые будут более правельными. но даже если без редиректа https есть смысл регистрировать т.к. у некоторых настроен ОС под ползанием только по https страничкам. которые не поддерживают http и возможно скоро таких людей будет очень много.
возможно это уменьшит вероятность взлома персонажей. канешно возможно не всё так просто но в любом случае советую вам подумать над подключением протокола https.

Fingolfin 17.08.2013 15:01

Во-первых, https - это название протокола Hyper Text Tranfser Protocol Secure, он не регистрируется. Это надпись лишь показывает, что трафик нужно перенапрявлять на соответствующую службу, которая находится на другом порте сервера.
Во-вторых, "прехватить" Ваш трафик можно только с помощью специальных инструментов, называемых "сниферами" и такой инструмент должен быть где-то по пути от вас к серверу, к примеру на вашем компе в виде трояна. Либо в виде ФСБшного СОРМа (СОРМ-2, если точнее) на оборудовании провайдера.
И в третьих, не бывает браузеров, которые работают только по https, т.к. далеко не все серверы его поддерживают из-за повышения нагрузки на серверы в разы. Поэтому этот протокол используется только там, где это офигенно нужно, в банках, онлайн торговле и т.п.
Так что гонять весь трафик сервера через https, это бред.
Не думаю, что ФСБ захотят получить Ваш пароль от Хадда и посидеть за Вас в шахте)) А свой компьютер можно и в чистоте от троянов содежрать)

А по безопасности, не думали, почему пароли к Вам приходят именно в виде пароля, когда вы его запрашиваете восстановить? Почему Вам не предлагают тут его изменить, как положено? А потому, что пароли в Хадде хранятся в незашифрованном виде. Вот потому их и подбирают. Храниться должен не пароль, а хеш пароля и блокироваться на 3-тий, ну хорошо, по пьяне если, на 10-ой попытке, при неправильном вводе, хоть на час. И не надо тут никакого https, пароли тупо подбираются тут брутфорсом, а не перехватываются с помощью магических утилит.

Neznajkaa 17.08.2013 17:43

Цитата:

Сообщение от Fingolfin
Во-первых, https - это название протокола Hyper Text Tranfser Protocol Secure, он не регистрируется. Это надпись лишь показывает, что трафик нужно перенапрявлять на соответствующую службу, которая находится на другом порте сервера.
Во-вторых, "прехватить" Ваш трафик можно только с помощью специальных инструментов, называемых "сниферами" и такой инструмент должен быть где-то по пути от вас к серверу, к примеру на вашем компе в виде трояна. Либо в виде ФСБшного СОРМа (СОРМ-2, если точнее) на оборудовании провайдера.
И в третьих, не бывает браузеров, которые работают только по https, т.к. далеко не все серверы его поддерживают из-за повышения нагрузки на серверы в разы. Поэтому этот протокол используется только там, где это офигенно нужно, в банках, онлайн торговле и т.п.
Так что гонять весь трафик сервера через https, это бред.
Не думаю, что ФСБ захотят получить Ваш пароль от Хадда и посидеть за Вас в шахте)) А свой компьютер можно и в чистоте от троянов содежрать)

А по безопасности, не думали, почему пароли к Вам приходят именно в виде пароля, когда вы его запрашиваете восстановить? Почему Вам не предлагают тут его изменить, как положено? А потому, что пароли в Хадде хранятся в незашифрованном виде. Вот потому их и подбирают. Храниться должен не пароль, а хеш пароля и блокироваться на 3-тий, ну хорошо, по пьяне если, на 10-ой попытке, при неправильном вводе, хоть на час. И не надо тут никакого https, пароли тупо подбираются тут брутфорсом, а не перехватываются с помощью магических утилит.


про протокол http и https я вам говорю из личного опыта - это делаеться для тех людей которые не черта не шарят в интернете. ставяться в некоторых оффисах и многие социальные сети поддерживают данный протокол. вам не обязательно делать всю игру на Https но форму логина можно и сделать : ).

а по поводу трояна ? : ) да кому он нафиг нужен взял вбил в один файлик haddan.ru под другой айпишник на том айпишнике делаеш curl запрос и используеш как шлюз получаеш все пароли проходяшие через форму логина. https вас не обезопасит от такого но покажет пользователю красную фигню на весь екран и скажет что это не haddan. и поверьти это не единственный способ сделать haddan.ru через шлюзовый канал : ).

мне лично как пользователю было бы приятно делать логин по https трафику т.к. это более надёжно.

тем кто считает что в этом нету смысла зайдите на поисковик гогл и скажите что они дураки : ))) ну если даже там дураки то на фейсбуке тоже, и учитывая как изменилась соц сетья ВКонтакте скоро там тоже будет всё роботать по протоколу https потому что есть очень большая утечка паролей.

Fingolfin 17.08.2013 18:41

Цитата:

Сообщение от Neznajkaa
а по поводу трояна ? : ) да кому он нафиг нужен взял вбил в один файлик haddan.ru под другой айпишник на том айпишнике делаеш curl запрос и используеш как шлюз получаеш все пароли проходяшие через форму логина. https вас не обезопасит от такого но покажет пользователю красную фигню на весь екран и скажет что это не haddan. и поверьти это не единственный способ сделать haddan.ru через шлюзовый канал : ).

и с помщью чего же вы сможете "вбить" в локальную dns таблицу этот редирект?)) учитываея, что находится этот самый hosts в системной папке и учитывая, что доступ к локальной файловой системе средства html, php и т.п. не имеют? этот файлик опять же можно переписать, только имя червя в системе или вы придумали иной способ?)) поделитесь, откройте глаза на мир?))
зы. кстати, изменение этого файла отслеживается всеми нормальными антивирусами в режиме онлайн)

Maelstorm 17.08.2013 23:25

Гкхм... Фингол, не гунди. Пароли в открытом виде хранятся только от ячеек. Потому что каждый дурак будет их забывать и сбрасывать иначе. Пароли от игры хранятся как хэш.

Maelstorm 17.08.2013 23:30

по сабжу - не имеет смысла. Тянуть ваши пароли будут фишингом, кейлоггером, трояном, обманом. Маловероятно сниффером. Шифрование - это из области паранойи. Ну ладно еще почту и мессенджер я пойму - там тело сообщения\письма может составлять тайну. Но игру... нафиг, нафиг.


Часовой пояс GMT +4, время: 20:28.

Powered by vBulletin Version 3.5.4
Copyright ©2000 - 2025, Jelsoft Enterprises Ltd. Адаптация Архивариус & dukei