pENCODE - Шифрование данных для серверов SA:MP и сайтов

https://pp.userapi.com/c636326/v636326947/7a0d7/_kd1kyr0iiA.jpg

Описание:

Перед нами задача - зашифровать данные в моде и потом прочитать их на сайте. Решение этому дает сайт pENCODE. Вы можете запросто отправить на него запрос с сервера SA:MP или с вашего сайта, который pENCODE выполнит и вернет ответ - расшифрованную или зашифрованную строку. На данных момент сервис находиться на стадии тестирования. Хочу обратить ваше внимание, что сервис именно шифрует данные, а не хеширует.

Документацию вы можете найти тут: http://pencode.ga/code/api.html

Сайт разработки: http://pencode.ga
Сайт разработчика: https://gawesome.ru

А смысл ? Есть много разных плагинов для хеша, а доверять какому-то ноунейм сервису на бесплатном домене (не удивлюсь если и хостинг такой же) слишком подозрительно ... Поставить плагин на мд5 и склеить соль с любой строкой куда легче, чем юзать ваш подозрительный сервис да еще и медленную функцию HTTP..

А смысл ? Есть много разных плагинов для хеша, а доверять какому-то ноунейм сервису на бесплатном домене (не удивлюсь если и хостинг такой же) слишком подозрительно ... Поставить плагин на мд5 и склеить соль с любой строкой куда легче, чем юзать ваш подозрительный сервис да еще и медленную функцию HTTP..

ХЕШИРОВАНИЕ и ШИФРОВАНИЕ две разные вещи. И что если бесплатный? Плагин? А ну ок, переписывай тогда еще плагин под сайт.

https://ru.wikipedia.org/wiki/Хеширование
https://ru.wikipedia.org/wiki/Шифрование

Шифровать данные на третьей стороне - не лучшая идея. Более того, в данном случае данные по сети передаются в открытом виде, что убирает какой-либо смысл в шифровании.

Шифровать данные на третьей стороне - не лучшая идея. Более того, в данном случае данные по сети передаются в открытом виде, что убирает какой-либо смысл в шифровании.

У меня была идея сделать еще личный кабинет и секретное слово и чтобы пользователь его передавал сайту в md5. А так если, то мне не сложно HTTPS поставить

ХЕШИРОВАНИЕ и ШИФРОВАНИЕ две разные вещи. И что если бесплатный? Плагин? А ну ок, переписывай тогда еще плагин под сайт.

https://ru.wikipedia.org/wiki/Хеширование
https://ru.wikipedia.org/wiki/Шифрование

Зачем переписывать ? Мне готового base64 хватает ;)

У меня была идея сделать еще личный кабинет и секретное слово и чтобы пользователь его передавал сайту в md5.
Но пользователю всё-равно нужно доверять тебе.


А так если, то мне не сложно HTTPS поставить
Поставить то можно, но вот SA-MP не поддерживает HTTPS запросы.


Зачем переписывать ? Мне готового base64 хватает ;)
base64 это не шифрование, а кодирование.

Может я чего не понимаю, но в чём смысл от шифрования данных пользователей? Тем более, с использованием каких-либо сторонних методов шифровки, которыми может воспользоваться любой желающий. Проще уж сразу в открытом виде хранить, не? Попахивает желанием воровать пароли при нужде (не у сервиса, а у тех, кто выбирают шифрование)

Может я чего не понимаю, но в чём смысл от шифрования данных пользователей? Тем более, с использованием каких-либо сторонних методов шифровки, которыми может воспользоваться любой желающий. Проще уж сразу в открытом виде хранить, не? Попахивает желанием воровать пароли при нужде (не у сервиса, а у тех, кто выбирают шифрование)

Ну, к примеру на сервере есть "записная книжка", игрок её может читать и изменять. И для того, чтобы защитить данные, в случае кражи БД, можно применить шифрование.

Ну, к примеру на сервере есть "записная книжка", игрок её может читать и изменять. И для того, чтобы защитить данные, в случае кражи БД, можно применить шифрование.

Но, опять же, если это делать при помощи подобных сервисов, то какой в этом смысл? Особенно если такой сервис наберёт популярность.
Как по мне, алгоритмы шифрования следует вшивать прямо в скрипт, изменяя его на свой лад.

Но, опять же, если это делать при помощи подобных сервисов, то какой в этом смысл? Особенно если такой сервис наберёт популярность.
Как по мне, алгоритмы шифрования следует вшивать прямо в скрипт, изменяя его на свой лад.

Согласен. Но автор, видимо, использует этот сервис в своём сервере, а это вполне приемлемо.

Согласен. Но автор, видимо, использует этот сервис в своём сервере, а это вполне приемлемо.

Но опять же, Pawn и PHP два разных языка, в PHP есть функции которые нет в Pawn и наоборот. Как вы представляете систему шифрования, чтобы можно было зашифровать в моде, а расшифровать на сайте?

+ Как можно перехватить данные если они передаются через метод POST? Может я конечно чего-то не знаю, но хз.

Но опять же, Pawn и PHP два разных языка, в PHP есть функции которые нет в Pawn и наоборот. Как вы представляете систему шифрования, чтобы можно было зашифровать в моде, а расшифровать на сайте?

На обоих языках можно реализовать любые методы шифрования, разница будет лишь в производительности.


+ Как можно перехватить данные если они передаются через метод POST? Может я конечно чего-то не знаю, но хз.

На сетевом уровне. Вот небольшая статья, в которой показано на сколько просто это можно сделать: https://networkguru.ru/wireshark-perekhvat-paroley

На обоих языках можно реализовать любые методы шифрования, разница будет лишь в производительности.



На сетевом уровне. Вот небольшая статья, в которой показано на сколько просто это можно сделать: https://networkguru.ru/wireshark-perekhvat-paroley

Но это же на локальной сети я так понял, если у тебя стоит хороший хостинг, то тебе бояться нечего.

Но это же на локальной сети я так понял, если у тебя стоит хороший хостинг, то тебе бояться нечего.

Так это ведь лишь элементарный пример того, насколько развита область перехвата трафика :)

Ну а как же mitm? Вообще, оно того не стоит. Сервис бесполезен, имхо. Если есть необходимость в хешировании/шифровании то это лучше делать на своей стороне.

Так это ведь лишь элементарный пример того, насколько развита область перехвата трафика :)

Ну тогда можешь еще скажешь что можно перехватывать пакеты САМПа и мешать игрокам нормально играть? Что-то же никто до этого не додумался

+ передача данных с mysql происходит похожим образом, что-то же никто не перехватывает? разве не так?

Ну тогда можешь еще скажешь что можно перехватывать пакеты САМПа и мешать игрокам нормально играть? Что-то же никто до этого не додумался

Эм, Америку открыл.. Все собейты и прочие читы, почти все щас, построены на перехвате пакетов/РПЦ, их модификации и дальнейшей отправки на сервер.

Ну тогда можешь еще скажешь что можно перехватывать пакеты САМПа и мешать игрокам нормально играть? Что-то же никто до этого не додумался

Именно. Но мешать играть это одно, а перехватывать зашифрованные данные - это другое. Просто функция шифрования предполагает за собой надёжность во всём.


+ передача данных с mysql происходит похожим образом, что-то же никто не перехватывает? разве не так?

Обычно сервер SA-MP и сервер MySQL находятся на одной машине, поэтому перехватывать нечего.

Именно. Но мешать играть это одно, а перехватывать зашифрованные данные - это другое. Просто функция шифрования предполагает за собой надёжность во всём.



Обычно сервер SA-MP и сервер MySQL находятся на одной машине, поэтому перехватывать нечего.

Но тогда можно запросто перехватить пароль который ввел игрок в диалог и тогда толк вообще от шифрования|хеширования|кодирования? Хоть md5, хоть base64, хоть password_hash (как-то так называется вроде)

Но тогда можно запросто перехватить пароль который ввел игрок в диалог и тогда толк вообще от шифрования|хеширования|кодирования? Хоть md5, хоть base64, хоть password_hash (как-то так называется вроде)

Это непрактично, ибо для этого придётся на каждый конкретный сервер ухитриться загнать свой вирус, который будет всё это дело перехватывать. Гораздо практичнее в этом случае заражать компьютеры игроков, что, собственно, и делают (те самые "стиллеры", на которые многие жалуются).

Но твой-то сервис не является каким-то индивидуальным. Если им начнут пользоваться сотни серверов, то и затраты на попытки засадить вирус на твой сервис окупятся, ибо злоумышленник получит доступ сразу к куче аккаунтов.

Эм, Америку открыл.. Все собейты и прочие читы, почти все щас, построены на перехвате пакетов/РПЦ, их модификации и дальнейшей отправки на сервер.

Я имел в виду перехват пакета до клиента.....

- - - Добавлено - - -


Это непрактично, ибо для этого придётся на каждый конкретный сервер ухитриться загнать свой вирус, который будет всё это дело перехватывать. Гораздо практичнее в этом случае заражать компьютеры игроков, что, собственно, и делают (те самые "стиллеры", на которые многие жалуются).

Но твой-то сервис не является каким-то индивидуальным. Если им начнут пользоваться сотни серверов, то и затраты на попытки засадить вирус на твой сервис окупятся, ибо злоумышленник получит доступ сразу к куче аккаунтов.

Ну и о каком перехвате информации тогда через HTTP может идти речь?

Ну и о каком перехвате информации тогда через HTTP может идти речь?

Ну а о каком HTTP в SA-MP может идти речь?

Но тогда можно запросто перехватить пароль который ввел игрок в диалог и тогда толк вообще от шифрования|хеширования|кодирования? Хоть md5, хоть base64, хоть password_hash (как-то так называется вроде)

Можно, и именно для защиты от этого нужно делать двухфакторную авторизацию. А хеширование защищает пароль в случае кражи базы данных сервера.
Просто, как я уже говорил, смысла в шифровании нет, если данные всё-равно передаются через сеть в открытом виде. Это лишь создаёт иллюзию безопасности хранения данных, что, наверное, даже хуже, чем просто хранить данные в открытом виде.

У Гугла есть ReCapcha и там тоже через сеть передаются все ключи в открытом виде. И что-то же они ничего не делают с этим, а ведь зная эти ключи можно проходить проверку на бота.

У Гугла есть ReCapcha и там тоже через сеть передаются все ключи в открытом виде. И что-то же они ничего не делают с этим, а ведь зная эти ключи можно проходить проверку на бота.

Начнём с того, что предназначением сей системы является борьба с интернет-ботами в общей массе и не более. Естественно, если загнать на сервера гугла вирус, который будет брать нужную информацию, то можно эту систему для твоего бота обойти (как и любую другую), но ты ещё попробуй загони его туда и сделай так, чтоб его там не заметили.
А закончим тем, что эта система работает не по обычному принципу "Вот вам символы на картинке. Напишите их нам в ответ". Подробнее об этом можешь узнать в той же википедии (https://ru.wikipedia.org/wiki/ReCAPTCHA), хотя советую погуглить получше и найти более подробные статьи. Эта система довольно умная и обойти её не так уж и просто, в сравнении с другими защитами (не зря же она так распространена стала)

У Гугла есть ReCapcha и там тоже через сеть передаются все ключи в открытом виде. И что-то же они ничего не делают с этим, а ведь зная эти ключи можно проходить проверку на бота.

У Google уже давно везде используется https протокол, что означает, что все данные передаются в зашифрованном виде.
В хроме даже есть плашка "Secure", означающая безопасность соединения:
http://ihost.pro-pawn.ru/image.php?di=7C9A

У Google уже давно везде используется https протокол, что означает, что все данные передаются в зашифрованном виде.
В хроме даже есть плашка "Secure", означающая безопасность соединения:
http://ihost.pro-pawn.ru/image.php?di=7C9A

Имхо, не составит труда перехватить https сессию. Стоит только написать троянскую программу, которая умеет работать с браузером, то HTTPS станет бесполезным, так как данные могут копироваться до того, как попадут в зашифрованный канал. Или же тот же самый MITM (правда немного улучшенный*).

Имхо, не составит труда перехватить https сессию. Стоит только написать троянскую программу, которая умеет работать с браузером, то HTTPS станет бесполезным, так как данные могут копироваться до того, как попадут в зашифрованный канал. Или же тот же самый MITM (правда немного улучшенный*).

Речь идёт про перехват данных через сеть, а ты говоришь совсем о другом.

А вообще, получить пароль можно массой способов, вопрос стоит в сложности исполнения. Если перехватить http трафик не составит труда после просмотра одного урока на YouTube, когда как написать и внедрить троян на компьютер жертвы уже намного сложнее.

Раз на то пошло, вот ещё несколько вариантов получения вводимых данных:
- Перехват Bluetooth соединения беспроводной клавиатуры, так как во всех (в большинстве точно) клавиатур, передаваемые данные не шифруютя.
- Получение доступа к микрофону компьютера или телефона и определение нажатых клавиш по звуку.

Речь идёт про перехват данных через сеть, а ты говоришь совсем о другом.

Я указал лишь о том, что https не слишком надежный, как многие говорят, и обойти его не составит труда, если ты хороший программист.

Я указал лишь о том, что https не слишком надежный, как многие говорят, и обойти его не составит труда, если ты хороший программист.

HTTPS - это зашифрованный протокол передачи данных, и то, что данные можно украсть трояном - это не вина протокола, а вина ОС и антивирусного ПО, а HTTPS с этим вообще никак не связан. Это одно и тоже, что говорить о ненадёжности входной двери, потому что в дом можно залезть через окно.