Добро пожаловать на Pro Pawn - Портал о PAWN-скриптинге.
Страница 3 из 4 ПерваяПервая 1 2 3 4 ПоследняяПоследняя
Показано с 21 по 30 из 32

Тема: pENCODE

  1. #21
    Аватар для KrutoyKrosch
    Пользователь

    Статус
    Оффлайн
    Регистрация
    26.02.2016
    Сообщений
    301
    Репутация:
    7 ±
    Цитата Сообщение от ziggi Посмотреть сообщение
    Именно. Но мешать играть это одно, а перехватывать зашифрованные данные - это другое. Просто функция шифрования предполагает за собой надёжность во всём.



    Обычно сервер SA-MP и сервер MySQL находятся на одной машине, поэтому перехватывать нечего.
    Но тогда можно запросто перехватить пароль который ввел игрок в диалог и тогда толк вообще от шифрования|хеширования|кодирования? Хоть md5, хоть base64, хоть password_hash (как-то так называется вроде)

  2. #22
    Аватар для DeimoS
    Модератор?

    Статус
    Оффлайн
    Регистрация
    27.01.2014
    Адрес
    Восточный Мордор
    Сообщений
    5,588
    Репутация:
    1984 ±
    Цитата Сообщение от KrutoyKrosch Посмотреть сообщение
    Но тогда можно запросто перехватить пароль который ввел игрок в диалог и тогда толк вообще от шифрования|хеширования|кодирования? Хоть md5, хоть base64, хоть password_hash (как-то так называется вроде)
    Это непрактично, ибо для этого придётся на каждый конкретный сервер ухитриться загнать свой вирус, который будет всё это дело перехватывать. Гораздо практичнее в этом случае заражать компьютеры игроков, что, собственно, и делают (те самые "стиллеры", на которые многие жалуются).

    Но твой-то сервис не является каким-то индивидуальным. Если им начнут пользоваться сотни серверов, то и затраты на попытки засадить вирус на твой сервис окупятся, ибо злоумышленник получит доступ сразу к куче аккаунтов.
    Связаться со мной в VK можно через личные сообщения этой группы
    Заказы не принимаю

    Широко известно, что идеи стоят 0.8333 цента каждая (исходя из рыночной цены 10 центов за дюжину).
    Великих идей полно, на них нет спроса.
    Воплощение идеи в законченную игру требует долгой работы,
    таланта, терпения и креативности, не говоря уж о затратах денег, времени и ресурсов.
    Предложить идею просто, воплотить – вот в чём проблема

    Steve Pavlina

  3. 2 пользователя(ей) сказали cпасибо:
    Daniel_Cortez (04.05.2017) Outsider (06.01.2018)
  4. #23
    Аватар для KrutoyKrosch
    Пользователь

    Статус
    Оффлайн
    Регистрация
    26.02.2016
    Сообщений
    301
    Репутация:
    7 ±
    Цитата Сообщение от Batya_Montes Посмотреть сообщение
    Эм, Америку открыл.. Все собейты и прочие читы, почти все щас, построены на перехвате пакетов/РПЦ, их модификации и дальнейшей отправки на сервер.
    Я имел в виду перехват пакета до клиента.....

    - - - Добавлено - - -

    Цитата Сообщение от DeimoS Посмотреть сообщение
    Это непрактично, ибо для этого придётся на каждый конкретный сервер ухитриться загнать свой вирус, который будет всё это дело перехватывать. Гораздо практичнее в этом случае заражать компьютеры игроков, что, собственно, и делают (те самые "стиллеры", на которые многие жалуются).

    Но твой-то сервис не является каким-то индивидуальным. Если им начнут пользоваться сотни серверов, то и затраты на попытки засадить вирус на твой сервис окупятся, ибо злоумышленник получит доступ сразу к куче аккаунтов.
    Ну и о каком перехвате информации тогда через HTTP может идти речь?

  5. #24
    Аватар для DeimoS
    Модератор?

    Статус
    Оффлайн
    Регистрация
    27.01.2014
    Адрес
    Восточный Мордор
    Сообщений
    5,588
    Репутация:
    1984 ±
    Цитата Сообщение от KrutoyKrosch Посмотреть сообщение
    Ну и о каком перехвате информации тогда через HTTP может идти речь?
    Ну а о каком HTTP в SA-MP может идти речь?
    Связаться со мной в VK можно через личные сообщения этой группы
    Заказы не принимаю

    Широко известно, что идеи стоят 0.8333 цента каждая (исходя из рыночной цены 10 центов за дюжину).
    Великих идей полно, на них нет спроса.
    Воплощение идеи в законченную игру требует долгой работы,
    таланта, терпения и креативности, не говоря уж о затратах денег, времени и ресурсов.
    Предложить идею просто, воплотить – вот в чём проблема

    Steve Pavlina

  6. #25
    Аватар для ziggi
    Проверенный

    Статус
    Оффлайн
    Регистрация
    14.05.2015
    Сообщений
    1,181
    Репутация:
    790 ±
    Цитата Сообщение от KrutoyKrosch Посмотреть сообщение
    Но тогда можно запросто перехватить пароль который ввел игрок в диалог и тогда толк вообще от шифрования|хеширования|кодирования? Хоть md5, хоть base64, хоть password_hash (как-то так называется вроде)
    Можно, и именно для защиты от этого нужно делать двухфакторную авторизацию. А хеширование защищает пароль в случае кражи базы данных сервера.
    Просто, как я уже говорил, смысла в шифровании нет, если данные всё-равно передаются через сеть в открытом виде. Это лишь создаёт иллюзию безопасности хранения данных, что, наверное, даже хуже, чем просто хранить данные в открытом виде.

  7. 3 пользователя(ей) сказали cпасибо:
    Blood (04.05.2017) Daniel_Cortez (04.05.2017) KrutoyKrosch (04.05.2017)
  8. #26
    Аватар для KrutoyKrosch
    Пользователь

    Статус
    Оффлайн
    Регистрация
    26.02.2016
    Сообщений
    301
    Репутация:
    7 ±
    У Гугла есть ReCapcha и там тоже через сеть передаются все ключи в открытом виде. И что-то же они ничего не делают с этим, а ведь зная эти ключи можно проходить проверку на бота.

  9. #27
    Аватар для DeimoS
    Модератор?

    Статус
    Оффлайн
    Регистрация
    27.01.2014
    Адрес
    Восточный Мордор
    Сообщений
    5,588
    Репутация:
    1984 ±
    Цитата Сообщение от KrutoyKrosch Посмотреть сообщение
    У Гугла есть ReCapcha и там тоже через сеть передаются все ключи в открытом виде. И что-то же они ничего не делают с этим, а ведь зная эти ключи можно проходить проверку на бота.
    Начнём с того, что предназначением сей системы является борьба с интернет-ботами в общей массе и не более. Естественно, если загнать на сервера гугла вирус, который будет брать нужную информацию, то можно эту систему для твоего бота обойти (как и любую другую), но ты ещё попробуй загони его туда и сделай так, чтоб его там не заметили.
    А закончим тем, что эта система работает не по обычному принципу "Вот вам символы на картинке. Напишите их нам в ответ". Подробнее об этом можешь узнать в той же википедии, хотя советую погуглить получше и найти более подробные статьи. Эта система довольно умная и обойти её не так уж и просто, в сравнении с другими защитами (не зря же она так распространена стала)
    Связаться со мной в VK можно через личные сообщения этой группы
    Заказы не принимаю

    Широко известно, что идеи стоят 0.8333 цента каждая (исходя из рыночной цены 10 центов за дюжину).
    Великих идей полно, на них нет спроса.
    Воплощение идеи в законченную игру требует долгой работы,
    таланта, терпения и креативности, не говоря уж о затратах денег, времени и ресурсов.
    Предложить идею просто, воплотить – вот в чём проблема

    Steve Pavlina

  10. #28
    Аватар для ziggi
    Проверенный

    Статус
    Оффлайн
    Регистрация
    14.05.2015
    Сообщений
    1,181
    Репутация:
    790 ±
    Цитата Сообщение от KrutoyKrosch Посмотреть сообщение
    У Гугла есть ReCapcha и там тоже через сеть передаются все ключи в открытом виде. И что-то же они ничего не делают с этим, а ведь зная эти ключи можно проходить проверку на бота.
    У Google уже давно везде используется https протокол, что означает, что все данные передаются в зашифрованном виде.
    В хроме даже есть плашка "Secure", означающая безопасность соединения:

  11. #29
    Аватар для Pa4enka
    Пользователь

    Статус
    Оффлайн
    Регистрация
    22.04.2016
    Адрес
    Украина
    Сообщений
    157
    Репутация:
    35 ±
    Цитата Сообщение от ziggi Посмотреть сообщение
    У Google уже давно везде используется https протокол, что означает, что все данные передаются в зашифрованном виде.
    В хроме даже есть плашка "Secure", означающая безопасность соединения:
    Имхо, не составит труда перехватить https сессию. Стоит только написать троянскую программу, которая умеет работать с браузером, то HTTPS станет бесполезным, так как данные могут копироваться до того, как попадут в зашифрованный канал. Или же тот же самый MITM (правда немного улучшенный*).

  12. #30
    Аватар для ziggi
    Проверенный

    Статус
    Оффлайн
    Регистрация
    14.05.2015
    Сообщений
    1,181
    Репутация:
    790 ±
    Цитата Сообщение от Pa4enka Посмотреть сообщение
    Имхо, не составит труда перехватить https сессию. Стоит только написать троянскую программу, которая умеет работать с браузером, то HTTPS станет бесполезным, так как данные могут копироваться до того, как попадут в зашифрованный канал. Или же тот же самый MITM (правда немного улучшенный*).
    Речь идёт про перехват данных через сеть, а ты говоришь совсем о другом.

    А вообще, получить пароль можно массой способов, вопрос стоит в сложности исполнения. Если перехватить http трафик не составит труда после просмотра одного урока на YouTube, когда как написать и внедрить троян на компьютер жертвы уже намного сложнее.

    Раз на то пошло, вот ещё несколько вариантов получения вводимых данных:
    - Перехват Bluetooth соединения беспроводной клавиатуры, так как во всех (в большинстве точно) клавиатур, передаваемые данные не шифруютя.
    - Получение доступа к микрофону компьютера или телефона и определение нажатых клавиш по звуку.

 

 
Страница 3 из 4 ПерваяПервая 1 2 3 4 ПоследняяПоследняя

Информация о теме

Пользователи, просматривающие эту тему

Эту тему просматривают: 1 (пользователей: 0 , гостей: 1)

Ваши права

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •