Momencik

Czekaj na odpowiedź servera..

Uwaga

  

Forum Margonem > Dyskusje techniczne > Zabezpieczenia gry - dyskusja

[Przeszukaj temat] [Dodaj do ulubionych]
Koniec strony Strona: [1] [2]

Lord Gijack

281773
2248
Jeśli można jakoś rozwazyć blokowanie wypłacalnosci kaski z skarbca klanowego przez zasta byłoby naprawde spoko..
coraz czesciej sie zdarza ze jakis gosc z rady wejdzie w scam linka i przez to traci caly klan ...
2021.03.05 19:10:29
zgłoś | ignoruj | cytuj | ID:44754470

Glyceryl trinitrate

2622
8
Przede wszystkim trzeba się skupić na rozwiązaniach, które uderzą w złodziei kont, fałszywych zastępców, boty, ale przy tym nie będą uderzać w normalnych graczy. To nie jest takie łatwe niestety, bo wiele rozwiązań byłoby denerwujące... Autoryzacja konta poprzez podanie przy rejestracji numeru telefonu i konieczności wpisania jakiegoś kodu, jest chyba najważniejszym z wymienionych sposobów, który wpłynął by na ograniczenie botów i multikont.
Ja bym dodał możliwość nie podania nr telefonu, ale przy tym ograniczył możliwości takiego gracza poprzez: ograniczenie lvl'a dla takiego konta do x (np. 30) poziomu, możliwość posiadania postaci wyłącznie na światach publicznych, ograniczenie ilości posiadanych postaci, itd.

Potem żeby mieć możliwość "normalnego" grania trzeba by podać numer telefonu i potwierdzić go podając kod. To dałoby możliwość poznania gry nowym graczom, jednocześnie zniechęciło by bociarzy do tworzenia kont, których nie są w stanie w żaden sposób wykorzystać (niski lvl, brak możliwości zarabiania na takim koncie).

Co do zastępców, to uważam tak jak Irian Dragonfly - nie jest to potrzebne. Skoro jest punkt w regulaminie, że współdzielenie konta jest zabronione, to rola zastępcy jest z nim sprzeczna, jedyna różnica to limit czasu, który jest tak duży, że w przypadku aktywnego gracza jest to praktycznie tożsame z drugim właścicielem konta.

Usprawnienie panelu kontaktowego - miałoby to polegać na tym, żeby dodać pole w którym osoba zgłaszająca sprawę może zaznaczyć, że sprawa jest pilna, jednocześnie określić jasno zasady, kiedy można taką sprawę oznaczyć jako priorytetową.
Ewentualnie, żeby nie pokładać zbyt dużego zaufania w rękach graczy, tylko niektórym sprawom automatycznie nadać taki status, o ile nie ma już czegoś takiego po stronie panelu, której gracz nie widzi. Jeżeli jest takie rozwiązanie to byłbym stanowczo za tym, żeby gracz widział priorytet zgłoszenia.

Propozycja rozwiązania problemu z botami - na autoryzację/potwierdzenie konta za pomocą nr telefonu i SMS-a jeszcze chyba trochę poczekamy, więc przydałoby się rozwiązanie tymczasowe. Jeżeli spojrzeć na statystyki to wyglądają one źle, graczy online jest ok. 7-8tysięcy, a kont powstaje w ciągu doby prawie 5.5 tysiąca. Myślę, że nikt nie ma wątpliwości, że nie jest to żadna fala nowych graczy, ale armia botów, które od już chyba ponad 2 lat niszczą tą grę. Skoro są boty, a w zasadzie ich tysiące jak nie więcej, które same latają i wbijają lvl, same wracają i biją e2, niektóre podobno nawet po respach herosów potrafią biegać, pewnie znajdą się i takie co same questy za kogoś zrobią to ja jestem ciekaw co niby normalny gracz ma robić w takiej grze? Ja nie widzę w zasadzie żadnego celu w grze przeciwko botom, które są w stanie zrobić za "gracza" praktycznie wszystko. Myślałem o propozycji wprowadzenia jakichś jednorazowych opłat za założenie konta, ale to by zniechęciło każdego nowego gracza.


1. Sancti Magistri napisał(a):
Z rzeczy, które występują w rozgrywce można by się zastanowić nad indywidualnym hasłem „PIN” na depozyt, wystawianie legend na aukcje.

Pomysł dobry, ale taki PIN na depozyt/wystawianie powinien działać przez całą sesję na danej postaci, oczywiście z możliwością zmiany ustawień takiego zabezpieczenia.

2.Sancti Magistri napisał(a):
Główne passy do codziennego logowania, zapasowe - do kradzieży i innych scamów. Oczywiście, używając passów zapasowych, które w mojej opinii powinny być zablokowane i wpisywane przez gracza dopiero po osiągnięciu określonego levela doświadczenia - a ich zmiana wymaga niemałego nakładu Sł.

Zmiana zapasowych pasów za SŁ to nie jest dobry pomysł, zmiana powinna być możliwa, ale nie za opłatą, a za podaniem szeregu informacji, np: numeru telefonu, potwierdzeniu sms, potwierdzeniu przez email i podaniu jakiejś informacji "bezpieczeństwa" pokroju ulubiony film czy inne takie (przykład, nie propozycja). Można by nawet rozważyć dodanie zapasowego adresu email.
Jeżeli ktoś ma to samo hasło do maila co do Margonem czy jakiekolwiek innego konta gdzie indziej, to już jest wyłącznie jego ryzyko.


Właśnie po napisaniu zrozumiałem, że martwy ten temat chyba, ale co tam ; )
Edytowany 15:17:10 15.3.2021 przez Mgic Pl
Edytowany 15:20:19 15.3.2021 przez Mgic Pl
Edytowany 11:44:58 20.3.2021 przez Mgic Pl
2021.03.15 15:15:08
zgłoś | ignoruj | cytuj | ID:44785036

DevilaN

133745
265
Dzień dobry.

Zdecydowaliśmy się na wdrożenie 2FA w postaci kodów TOTP, czyli generowanych i ograniczonych czasowo.
Jest to rozwiązanie powszechnie stosowane, istnieją do niego bardzo dobre, "lekkie", otwartoźródłowe aplikacje zarówno na telefony jak i na komputery.
Autoryzacja będzie dwuskładnikowa (trzeba podać logpassy i kod jednocześnie w jednym kroku - pomyłka nie zwróci informacji czy i który z elementów podano prawidłowo). Zwiększa to znacząco bezpieczeństwo gdyż atakujący nie jest w stanie w pierwszym kroku rozgryźć loginu i hasła by później zajmować się "tylko" drugim składnikiem.
Ustawienie będzie odbywać się z poziomu konfiguracji konta i wymagać będzie wcześniejszej blokady email.
Wymiana "sekretu" potrzebnego do dalszej prawidłowej autoryzacji odbywać się będzie w formie odpowiedniego maila zawierającego niezbędne dane aby logować się z dodatkowym kodem.
Zdjęcie blokady emaila wiązać się będzie z wyłączeniem autoryzacji dwuskładnikowej aby zapobiec późniejszym problemom z ewentualnym odzyskaniem sekretu w rzadkich przypadkach utraty możliwości generowania kodów przy jednoczesnej utracie dostępu do "sekretu".
Formularz logowania będzie zawierał pole pozwalające wpisać kod TOTP. W zależności od ostatniego sposobu logowania się (zapisane w localStorage przeglądarki) pole to będzie domyślnie pokazane bądź ukryte (z możliwością zmiany stanu widoczności).
Na chwilę obecną jest to pierwszy planowany krok w wykorzystaniu kodów TOTP. Dopiero po wprowadzeniu pierwszej iteracji rozwiązania rozważymy wdrożenie dodatkowych zabezpieczeń (nie koniecznie bazujących na kodach TOTP) przy innych akcjach niż logowanie się do gry.

Konta z logowaniem przez Google / FB nie będą miały weryfikacji dwuskładnikowej. Serwisy te zapewniające uwierzytelnianie posiadają swoje opcje weryfikacji dwuskładnikowej i na nich polegamy.

O ile nie pojawią się problemy wymagające zmian priorytetów prac i nie będzie uzasadnionych argumentów przeciwko ze strony społeczności, to logowanie dwuskładnikowe powinno być dostępne z końcem przyszłego tygodnia.
Sposoby obsługi sytuacji wyjątkowych związanych z odzyskiwaniem kodów, czy obsługi przez panel kontaktowy mogą ulec zmianie i nie są ostateczne. Na razie to "propozycja", którą od strony technicznej mamy praktycznie przygotowaną i rdzeń autoryzacji przez kody TOTP nie powinien się zmienić, a jedynie cały "flow" wokół niego.


UWAGA!!!
Nowe rozwiązanie będzie funkcjonować tylko na nowej wersji strony głównej (aktualnie dostępnej pod adresem new.margonem.pl). Na konta posiadające autoryzację dwuskładnikową nie będzie można zalogować się przez starą wersję strony głównej (aktualnie pod adresem www.margonem.pl).
Bardzo proszę o wyrozumiałość. Stara strona jest przestarzała technologicznie, a jej rozwój zjada zbyt wiele czasu, który moglibyśmy poświęcić na wprowadzenie ulepszeń i przeniesienie Margonem w XXI wiek. Planujemy migrację niezbędnych rozwiązań do nowej strony i wygaszenie w najbliższym czasie aktualnej wersji starej strony głównej pozostawiając forum, które w następnym kroku również będzie migrować do nowej wersji.
2021.04.06 11:34:14
MEDAL Ocena: 22
cytuj | ID:44845743

bachor

3642154
11290
DevilaN:
no i teraz jak ktos wezmie bota z yt to nie okradna go ani perma nie dostanie, ez dla dzieciaczkow

wybanujcie boty pls


@EDIT
temat:
Zabezpieczenia gry - dyskusja

czy możecie jeszcze wrzucić w konfiguracje blok dla zastępcy:
-dodawanie do klanu
-nadawanie rang w klanie
?
Edytowany 13:29:15 6.4.2021 przez bachor
2021.04.06 13:21:06
Ocena: -1
zgłoś | ignoruj | cytuj | ID:44846007

Figaxin

313255
874
Zarządca Świata Prywatnego
DevilaN napisał(a):
Bardzo proszę o wyrozumiałość. Stara strona jest przestarzała technologicznie, a jej rozwój zjada zbyt wiele czasu, który moglibyśmy poświęcić na wprowadzenie ulepszeń i przeniesienie Margonem w XXI wiek. Planujemy migrację niezbędnych rozwiązań do nowej strony i wygaszenie w najbliższym czasie aktualnej wersji starej strony głównej pozostawiając forum, które w następnym kroku również będzie migrować do nowej wersji.


1. Czy refactoring dotknie także toolsów dla zarządców? Również są przestarzałe i mogą mieć błędy

2.1. Dodatkowo przed przejściem na nową stronę główną koniecznie trzeba zaimplementować mechanizm wysyłania zaproszeń obecny na starej wersji - zgłosiłem to w maju 2017, ticket 110483 (wisi w backlogu?).
2.2. A jeszcze lepiej gdyby była dodatkowa możliwość wysyłania zaproszeń przez toolsy, z listą wysłanych (timestamp) i podziałem na aktywne (możliwe do anulowania) lub wykorzystane (dodatkowy timestamp).

3. W kwestii dodatkowych mechanizmów bezpieczeństwa: wiele stron implementuje listę aktywnych sesji, logowań (udanych lub nie) albo nawet bardziej szczegółowych akcji związanych z kontem. Ale musiałoby to zostać zrobione dobrze, żeby nie pogorszyć sytuacji.

4. Czy planowane jest wdrożenie rozwiązania typu oauth do wykorzystania w dodatkach?

5. Czy logowanie z użyciem TOTP zostanie wdrożone do aplikacji mobilnej (póki co piszesz wyłącznie o nowej stronie głównej)?

6. Czy planowany jest system powiadomień o potencjalnie niebezpiecznych akcjach na koncie (np. tak jak robi to Google)?
Edytowany 13:40:08 6.4.2021 przez Figaxin
2021.04.06 13:27:11
Ocena: 5
zgłoś | ignoruj | cytuj | ID:44846021

Beh

300564
746
DevilaN:
Byłaby możliwość ułatwienia dostępu do kilku funkcji na new.margonem? Chodzi mi o możliwość zalogowania się prosto ze strony głównej bez potrzeby wchodzenia w pop-up do logowania? Dochodzi do tego system zastępcy na new - żeby się zalogować trzeba najechać na menu "Twoje konto" zamiast po prostu kliknąć zwykły odnośnik, który na starej stronie jest blisko podstawiony pod okienkiem wejścia do gry, tak samo w przypadku wylogowywania się z zastępcy. Lista postaci na starej stronie pomimo braku sortowania jest szybsza w obsłudze i znajduje się blisko panelu logowania - nie posiada efektu fade-in na pojawianiu się (jakieś 0.5s różnicy).

Tutaj porównanie czasów przełączania się między zastępcą wraz z dostępnością guzików od tego:
old- https://gyazo.com/4448803fea3b10f0301c5c2e6aa6402a
new- https://gyazo.com/07891d8c60fe1f022c7b774eb2c2f5ce

Nowa strona góruje na ten moment w treściach i ich jakości, dostaliśmy tutaj komiksy z historiami herosów i widzę, że dodano wszystkie światy do rankingów otchłani i to z każdym sezonem co jest giga kox. Edytor WYSWIG na profilu z quick podglądem? Obsługa ramek na profilu? Normalne tipy przedmiotów? Totalny sztruks

tl;dr bo trochę się rozpisałem:
Jestem zwolennikiem modernizacji, ale:
-ułatwcie logowanie
-przyspieszcie przełączanie się na/z zastępcę/y
-uprośćcie listę postaci
i z buta (from shoe) przełączam się na new.margonem. Pądro
2021.04.06 14:29:54
Ocena: 2
zgłoś | ignoruj | cytuj | ID:44846169

DevilaN

133745
265
Figaxin napisał(a):
1. Czy refactoring dotknie także toolsów dla zarządców? Również są przestarzałe i mogą mieć błędy

Tak, jednak nie od razu. Od bardzo długiego czasu próbujemy wszystko zmodernizować. Margonem jest systemem naczyń połączonych i nie da się ruszyć jednej rzeczy bez oceny wpływu na pozostałe. W przypadku wielu rzeczy to nie refaktoring tylko odbetonowanie tylko po to aby odkryć, że osoby, które już dawno nie pracują użyły sznurówki i plasteliny, a dziury zakleiły pianką do golenia i spryskały lakierem do włosów żeby się nie rozpadło. Jednym z priorytetów było na przykład uwolnienie się od zmory padu całego Margonem gdy jeden tylko serwer ma awarię. Sporo rzeczy dzieje się "w tle". Nie widzicie różnic, bo przygotowujemy grunt pod właściwe zmiany. Także cały serwis dla zarządców będzie zaorany a w jego miejsce przyjdzie coś nowego.

2.1. Dodatkowo przed przejściem na nową stronę główną koniecznie trzeba zaimplementować mechanizm wysyłania zaproszeń obecny na starej wersji - zgłosiłem to w maju 2017, ticket 110483 (wisi w backlogu?).

Poproszę o sprawdzenie tego problemu i zaplanowanie jego rozwiązania.

2.2. A jeszcze lepiej gdyby była dodatkowa możliwość wysyłania zaproszeń przez toolsy, z listą wysłanych (timestamp) i podziałem na aktywne (możliwe do anulowania) lub wykorzystane (dodatkowy timestamp).

Cisnąć Morryego żeby przedstawił sensowny projekt zmian i pewno coś da się wdrożyć za jakiś czas konsultując z Zarządcami interesujące ich rozwiązania.

3. W kwestii dodatkowych mechanizmów bezpieczeństwa: wiele stron implementuje listę aktywnych sesji, logowań (udanych lub nie) albo nawet bardziej szczegółowych akcji związanych z kontem. Ale musiałoby to zostać zrobione dobrze, żeby nie pogorszyć sytuacji.

Margonem ma tylko jedną aktywną sesję. Założenie nowej powoduje wylogowanie z poprzedniej. Listowanie informacji to już kwestia bardziej polityczna niż techniczna. Nie w mojej gestii się tu wypowiadać.

4. Czy planowane jest wdrożenie rozwiązania typu oauth do wykorzystania w dodatkach?

Nie. Planowane jest zwracanie użytkownikowi informacji z podpisem cyfrowym. Dodatek może pobrać daną informację wraz z własnym hashem uwiarygadniającym, że to odpowiedź na jego właśnie żądanie i zawierającą weryfikowalny podpis gwarantujący, że nikt nie majstrował przy danych.

5. Czy logowanie z użyciem TOTP zostanie wdrożone do aplikacji mobilnej (póki co piszesz wyłącznie o nowej stronie głównej)?

Tak. Chcielibyśmy aby ruszyło w tym samym terminie jak na NSG, jednak zdajemy sobie sprawę z tego, że mogą być pewne opóźnienia zazwyczaj spowodowane cyklem wydawniczym aplikacji w sklepie Apple, gdzie zmiany dosyć długo leżą zanim zostają zatwierdzone.

6. Czy planowany jest system powiadomień o potencjalnie niebezpiecznych akcjach na koncie (np. tak jak robi to Google)?

Nie ma aktualnie założeń takiego systemu. Przez jakiś czas będziemy obserwować jak bardzo w zapobieganiu kradzieżom i zniszczeniom na koncie pomaga TOTP. Później zobaczymy czy i jakie rozwiązania wdrożyć w miarę pojawienia się zapotrzebowania na takowe.

---
Beh:
Ekipa zajmująca się grafiką i UI pracuje aby uczynić interfejs nowej strony głównej znośnym. Podeślę im link do Twojego posta żeby się przyjrzeli, ale nie obiecuje, że odpiszą. W każdym bądź razie dzięki za sugestie.
2021.04.06 14:56:35
Ocena: 4
cytuj | ID:44846239

Fellorien

1401116
2501
DevilaN:
Czy w przyszłości planowane jest umożliwienie wyboru sposobu weryfikacji? Istnieją również inne metody jak np.: klucze U2F.
2021.04.06 15:02:29
zgłoś | ignoruj | cytuj | ID:44846246

Aresto Momentum

302120
423
Beh:
Przy okazji przeprojektowalbym to jak działa to całe menu Twoje Konto/Edytuj ustawienia/Zakup smoczych łusek
W ustawieniach jest karmazynowe bractwo oraz licznik ostrzeżeń, które właściwie nie są ustawieniami i powinny się znajdować w zakładce twoje konto. Zakup smoczych łusek, skoro ma nawet oddzielny przycisk w tym menu powinno być w oddzielnej zakładce, bo tak to trochę miesza. Zachowajcie spójność - informacje o koncie w zakładce twoje konto, a nie w ustawieniach, a zakup smoczych łusek nie w informacjach o koncie, tylko na oddzielnej zakładce, bo ani to informacja, ani ustawienie, doda to trochę uporządkowania.
2021.04.06 15:18:43
Ocena: 1
zgłoś | ignoruj | cytuj | ID:44846281

Samikosar

3151296
6189
DevilaN:
Cisnąć Morryego żeby przedstawił sensowny projekt zmian i pewno coś da się wdrożyć za jakiś czas konsultując z Zarządcami interesujące ich rozwiązania.


xD Cisnęło o to setki osób, padło setki komentarzy i merytorycznych dyskusji https://www.margonem.pl/?task=forum&show=posts&id=500322 polecam lekturę, ostatni post Morrego w temacie 2020.06.27 18:32:02, temat praktycznie padł bo nic się nie ruszało do przodu, jesteśmy najbardziej zaniedbanym sektorem w Margonem który o tym trąbi od 5 lat a ostatnio tylko jest gorzej i mówisz nam żebyśmy cisnęli, mam rozumieć jeszcze bardziej? Co, mamy wam listy do firmy przysłać czy o co chodzi?


https://www.margonem.pl/?task=forum&show=posts&id=500322&ps=7#post42109411

Pozostało do wprowadzenia: 2018.11.09 13:57:09, się długo wprowadza
Edytowany 15:43:34 6.4.2021 przez Samikosar
2021.04.06 15:29:46
Ocena: 6
zgłoś | ignoruj | cytuj | ID:44846310

cichosza

31690
101
DevilaN:
Nie lepiej zrobić aby kod przychodził sms i był obowiązkowy? Wtedy znacząco zmniejszyły by się multikonta.
2021.04.06 15:35:24
zgłoś | ignoruj | cytuj | ID:44846320

Dijon

3002067
7246
Zarządca Świata Prywatnego
DevilaN napisał(a):
2.2. A jeszcze lepiej gdyby była dodatkowa możliwość wysyłania zaproszeń przez toolsy, z listą wysłanych (timestamp) i podziałem na aktywne (możliwe do anulowania) lub wykorzystane (dodatkowy timestamp).

Cisnąć Morryego żeby przedstawił sensowny projekt zmian i pewno coś da się wdrożyć za jakiś czas konsultując z Zarządcami interesujące ich rozwiązania.
Nie chcę nic mówić, ale Morry jest już ciśnięty przez zarządców od 2017 roku w którym to założono temat odn. syzyfowej pracy ŚP. W 2019 otrzymaliśmy z jego strony wypowiedź, cytuję:
Wszelkie projekty zostały dawno złożone i w pełni przeze mnie udokumentowane. Z każdą nową wersją gry pojawia się wiele zmian i poprawek błędów. Moja część pracy związana ze zmianami została w pełni zakończona i czeka na realizacje od strony programisty. W żaden sposób nie jestem w stanie przyśpieszyć tego procesu.
~ https://www.margonem.pl/?task=forum&show=posts&id=500322&ps=19#post43335378
Serio te projekty są tak głęboko zakolejkowane, że aż w ogóle?
Edytowany 17:03:21 6.4.2021 przez Pracownik
2021.04.06 15:39:20
Ocena: 4
zgłoś | ignoruj | cytuj | ID:44846336

Marger

317482
2424
DevilaN:
Nie. Planowane jest zwracanie użytkownikowi informacji z podpisem cyfrowym. Dodatek może pobrać daną informację wraz z własnym hashem uwiarygadniającym, że to odpowiedź na jego właśnie żądanie i zawierającą weryfikowalny podpis gwarantujący, że nikt nie majstrował przy danych.


Na czym miałoby to polegać i jakie miałoby zastosowanie? Czy takie rozwiązanie umożliwiłoby możliwość powiązywania tożsamości graczy margonem z kontami użytkowników zewnętrznego serwisu? Obecnie wiele zewnętrznych stron wymaga w tym celu wstawienia na profil ciągu znaków w w celu weryfikacji, co jest bardzo problematycznym rozwiązaniem.

Odnośnie nowej strony głównej, z tego co mi wiadomo nie działa funkcjonalność pokazywania i akceptowania zaproszeń na zastępcę konta, warto się temu przyjrzeć przed zaprzestaniem wsparcia starej strony.
Co do samego 2FA, nie uważam żeby miałoby to rozwiązać wszelkie aspekty bezpieczeństwa, ale mimo wszystko lepszy taki krok niż żaden - na plus.
2021.04.06 15:46:34
Ocena: 2
zgłoś | ignoruj | cytuj | ID:44846361

Subapatra

331869
5173
DevilaN:
Przedstawię Ci projekt zmian cytowanych na Światach prywatnych przez gracza Faun

Faun napisał(a):
Faun napisał(a):
Faun napisał(a):
01.02.2017 Rozpoczęcie tematu Syzyfowej pracy ZŚP.
08.06.2017 Pierwszy post Achai z propozycjami.
28.02.2018 Wypowiedź Achai na temat rzekomego braku odzewu i propozycji.
07.05.2018 Przekazanie Morryemu pałeczki w sprawie ŚP.
07.05.2018 Rozpoczęcie dialogu przez Morryego.
08.05.2018 Lista proponowanych zmian (w tym zapowiedź zmian w ŚP, zarządcach i funkcjonalnościach ŚP).
20.05.2018 Lista zaakceptowanych zmian.
24.05.2018 Prognozowanie dodatków globalnych na sierpień/wrzesień.
15.06.2018 Konkretniejsze info nt. zmian.
04.07.2018 Dodanie ramek ZŚP na forum ( !).
08.09.2018 Podanie małego info nt. rezerwowania ŚP.
11.09.2018 Zamknięcie tematu Syzyfowej pracy ZŚP i przeniesienie dyskusji tutaj.
28.09.2018 Info nt. odwleczenia się dodatków globalnych w czasie.
10.10.2018 Wejście w życie "systemu" pozwalającego na zdejmowanie killi na Syberii na żądanie.
26.10.2018 Dzisiaj. Niecałe 21 miesięcy po rozpoczęciu tematu Syzyfowej Pracy i prawie pół roku od "rozpoczęcia" zmian.
01.11.2018 Piękne, równiutkie 21 miesięcy bez zmian. Woohoo!

I teraz sprawdźmy co się zmieniło? 3 przyciski w panelu zśp i ramki zśp na forum.
Przez tyle czasu zmieniły się te 2 rzeczy (chyba, że o czymś zapomniałem, wówczas przepraszam i dopiszę do listy, widocznie nie miało aż takiego impaktu, żeby było warte zapamiętania ). Wow. Tymczasem od maja odbyły się 3 fuzje ŚP z Unią i powstały 3 nowe światy. Czy tylko mi wydaje się to żałosne? Ba, to jest wręcz przerażające jak przez taki okres stało się tak niewiele na tym polu.
Z całym szacunkiem Morry, respektuję i szanuję twój dialog z graczami i próbę zdziałania dobrego dla ŚP, ale rzekome prace nad regulaminem, który od 2 miesięcy jest na wykończeniu, dodatek globalny odwlekający się w czasie, ramki dla zśp na forum, czy 3 przyciski w panelu ZŚP to nie jest nic, co miał wnieść temat syzyfowej pracy.
Ja rozumiem, że coś może odwlekać się w czasie, mogą powstawać błędy, ale to już jest zlewanie po całości - przynajmniej ja to tak odbieram. Doczekamy się jakichkolwiek zmian w tym roku, czy błędne koło Unii i fuzji serwerów będzie trwać jeszcze długo?

I oto minęły dwa lata z Morrym - privy mają się lepiej niż kiedykolwiek! Tak trzymać i "byle do końca świata i jeden dzień dłużej"!


Swietujemy dwa lata co do obietnicy zmian w systemie rezerwowania privow, a w piatek swietujemy zamkniecie tematu syzyfowej pracy.
Partying_face emoji reacts only!


My też już trochę czekamy. Rozumiem, że są rzeczy ważne i ważniejsze bo tego nikt nie przegoni. Nie wiem czy damy radę Morrego cisnąć jak i tak temat z jego strony wygląda na zlewany.

Wracając do głównego wątku. Czy to w jakimś stopniu zapobiegnie włamania na konta? A da też radę abyśmy dostali powiadomienia, że jakiś chytry miś próbuje nam sie zalogować na konto?
Edytowany 15:48:04 6.4.2021 przez Sokea
Edytowany 15:48:50 6.4.2021 przez Sokea
Edytowany 15:49:23 6.4.2021 przez Sokea
2021.04.06 15:47:08
Ocena: 2
zgłoś | ignoruj | cytuj | ID:44846366

Figaxin

313255
874
Zarządca Świata Prywatnego
DevilaN:
Dzięki za szybką i rzeczową odpowiedź.

Listowanie informacji to już kwestia bardziej polityczna niż techniczna. Nie w mojej gestii się tu wypowiadać.

Nie rozumiem zupełnie tej polityki. Chcesz uzyskać informacje o historii logowań do swojego konta? Załatwiaj to przez policję. xD Chętnie usłyszałbym uzasadnienie takich zasad, szczególnie, że takie listowanie jest powszechne w innych serwisach.

Nie. Planowane jest zwracanie użytkownikowi informacji z podpisem cyfrowym. Dodatek może pobrać daną informację wraz z własnym hashem uwiarygadniającym, że to odpowiedź na jego właśnie żądanie i zawierającą weryfikowalny podpis gwarantujący, że nikt nie majstrował przy danych.

Jest już jakiś projekt zmian, żeby dać ewentualny feedback? Czy chodzi tutaj o JSON Web Token czy jakieś autorskie rozwiązanie (oby nie)?

Cisnąć Morryego żeby przedstawił sensowny projekt zmian i pewno coś da się wdrożyć za jakiś czas konsultując z Zarządcami interesujące ich rozwiązania.

Czy da się to zrobić przed "Także cały serwis dla zarządców będzie zaorany a w jego miejsce przyjdzie coś nowego."? Inaczej to bez sensu.

cichosza:
SMS w 2FA to pewnie dodatkowy koszt dla firmy, też zdecydowałbym się na TOTP - tanie do wdrożenia, powszechne, są gotowe biblioteki.
Edytowany 16:26:45 6.4.2021 przez Figaxin
2021.04.06 15:56:42
zgłoś | ignoruj | cytuj | ID:44846383

Delight

300197
421
cichosza:
Primo, system SMSowy to koszty. Może w porównaniu do zarobków Garmory niezbyt duże, ale są to koszty, których nie trzeba ponosić, bo są inne systemy.
Secundo, logowanie dwuetapowe nie jest obowiązkowe chyba nigdzie w sieci (popraw mnie ktoś, jeśli się mylę, bo może jakieś banki tego wymagają), bo dla wielu osób stanowi to utrudnienie logowania oraz zbędną stratę czasu. Docelowo, jest to rozwiązanie dla osób chcących zabezpieczyć swoje konto dodatkowo i nie jest to remedium na niedozwolone korzystanie z wielu kont, nie powinno też nim być.

DevilaN:
Listowanie informacji to już kwestia bardziej polityczna niż techniczna. Nie w mojej gestii się tu wypowiadać.
Mam takie same zdanie jak Figaxin. Dlaczego nie mogę uzyskać tak podstawowej informacji jak historia logowań? Bardzo rzadko spotykam się z tym, żeby jakiś duży serwis tego mechanizmu nie posiadał.
2021.04.06 16:10:53
Ocena: 1
zgłoś | ignoruj | cytuj | ID:44846395

DevilaN

133745
265
W późniejszym czasie, jeżeli będzie to możliwe, uzyskacie odpowiedzi na swoje pytania. Teraz jednak z mojej strony gorąca prośba na skupieniu się głównie na opisanej propozycji. Jeżeli wszystko pójdzie sprawnie, to szybciej przejdziemy do omawiania i realizacji innych tematów zamiast walczyć z "bumerangiem", który co rusz będzie mniej lub bardziej niespodziewanie wracał do poprawy.
2021.04.06 21:08:38
Ocena: 2
cytuj | ID:44847146

Asixan

32073
253
DevilaN:
Generalnie 2fa wydaje się dobrym pomysłem.

Uważam, że sprawdzi się świetnie o ile nie zostanie wprowadzone jak reroll bonusów
2021.04.06 22:02:32
KONTO ZABLOKOWANE | zgłoś | ignoruj | cytuj | ID:44847284

Figaxin

313255
874
Zarządca Świata Prywatnego
DevilaN:
1. Moje wątpliwości budzi wysyłanie sekretu mailem. Tym samym kanałem idzie reset hasła. Prawdopodobnie taki sekret będzie długo wisiał w skrzynce, co w przypadku włamania na maila przed niczym nas nie uchroni. Czy to jest celowe? Fragment "w rzadkich przypadkach utraty możliwości generowania kodów przy jednoczesnej utracie dostępu do "sekretu"" trochę to sugeruje.

Nie znam szczegółów, co taki mail będzie zawierać, ale miałoby to (chyba) sens w takim scenariuszu:
1. User prosi o ustawienie 2FA.
2. Dostaje maila z tymczasowym linkiem do sekretu ?blabla=tylkoniehs3
3. Pod linkiem jest QR code do zeskanowania.
4. User proszony jest o wprowadzenie TOTP na podstawie sekretu.
5. Dopiero po zweryfikowaniu TOTP włączane jest 2FA.

2. Jak wygląda scenariusz resetowania hasła z włączonym 2FA?

3. Czy planowany jest jakiś tutorial, pomoc i promowanie 2FA?

4. Rozumiem, że nie są planowane kody zapasowe?
Zdjęcie blokady emaila wiązać się będzie z wyłączeniem autoryzacji dwuskładnikowej aby zapobiec późniejszym problemom z ewentualnym odzyskaniem sekretu w rzadkich przypadkach utraty możliwości generowania kodów przy jednoczesnej utracie dostępu do "sekretu".

To trochę brzmi jakby pracownicy panelu byli tańsi niż implementacja (nie twierdzę, że tak nie jest).
Edytowany 22:56:24 6.4.2021 przez Figaxin
2021.04.06 22:55:01
Ocena: 1
zgłoś | ignoruj | cytuj | ID:44847497

Killers

3171515
2499
Figaxin:
Końcówka przypomina mi pewną firmę zaczynającą się na C a kończącą na omarch, której mottem jest "każdą liczbę programistów można zastąpić skończoną liczbą studentów".
Chcę bardziej poruszyć podpunkt trzeci. Promocja i pomoc w promowaniu 2FA stanowczo pomoże całej kampanii. Znaczący upominek byłby najbardziej na miejscu.
DevilaN:
Pytanie dot. ilości niepoprawnych zalogowań: czy po którymś razie konto zostanie zablokowane na, powiedzmy, okres 15 minut lub dłuższy? Czy przewidujecie wysyłanie logów do danego usera, że doszło do nieautoryzowanej próby logowania z przybliżoną lokalizacją?
2021.04.06 23:08:09
Ocena: 2
zgłoś | ignoruj | cytuj | ID:44847524

DevilaN

133745
265
Figaxin:
Słuszne uwagi. Spróbuję odpisać...

W pierwszej kolejności pragnę zauważyć, że ludzie uczący się programować ze Stack Overflow ponad 15 lat temu już u nas nie pracują (lub zostali Kreatywnymi Emerytami). Także aktualny poziom programistów nie jest taki tragiczny jakby się wydawało ;-)

OK, żarty na bok.

Ad. 1.1. Żądanie ustawienia 2FA idzie z poziomu konfiguracji. Tam następuje sprawdzanie warunków i wysłanie wiadomości na maila. W razie problemów użytkownik ma możliwość ponowienia wysłania maila po 24h.
Ad. 1.2. Link przychodzi na maila. Nie zawiera bezpośrednio sekretu a link do niego. Link jest wysłany na maila na wypadek gdyby żądanie było wysłane przez "włamywacza lub kolegę z hasłem". Później bardziej skomplikowanie byłoby odkręcić założenie na koncie 2FA i dowodzenie, że to nie ty. Sam link zawiera UUID, ale i tak wymaga bycia zalogowanym na właściwym koncie. Link jest aktywny 24h od wygenerowania. Po tym czasie można z konfiguracji zażądać ponownego wysłania maila z nowym linkiem.
Ad. 1.3. Pod linkiem kryje się obrazek z QR Code oraz odpowiadający mu dzielony między użytkownikiem a serwisem ciąg znaków będący kluczem (dla wygody do skopiowania i wklejenia gdyby ktoś używał oprogramowania zarządzającego hasłami ze wsparciem do TOTP). Znajduje się też link pozwalający szybko powrócić do konfiguracji.
Ad. 1.4. W konfiguracji, tam gdzie wysyłaliśmy żądanie wysłania sekretu jest pole do wpisania kodu TOTP celem ostatecznego potwierdzenia, że prawidłowo przeprowadzono cały proces.
Ad. 1.5. TAK :-)

Ad. 2. Nie przewidziano zmiany w scenariuszu resetowania hasła. TOTP i hasło są dwoma niezależnymi czynnikami, a blokada maila powinna zapobiec nadużyciom. Prosiłbym o uzasadnienie ewentualnej potrzeby zmiany scenariusza resetowania hasła, a rozpatrzy się czy jest konieczne zmianę wprowadzać w pierwszej iteracji czy zakolejkować ją do wdrożenia po wprowadzeniu podstawowych funkcjonalności.
Ad. 3. Pojawi się artykuł w dziale pomoc pokazujący krok po kroku jak przeprowadzić prawidłowo cały proces z uwzględnieniem dwóch wybranych aplikacji serwujących kody czasowe (jedna na PC, druga na komórki). Promocja będzie polegać na pojawieniu się info o 2FA w poradach obrazkowych w grze oraz sugestii zabezpieczenia konta pojawiającej się przy przekroczeniu odpowiedniego poziomu konta (przypuszczam, że 100lvl). Promocja będzie szczegółowo dyskutowana i wdrażana dopiero po prawidłowym uruchomieniu 2FA i upewnieniu się, że użytkownicy (mimo wcześniejszych konsultacji tutaj) nie zgłaszają, że coś jest zrobione mało intuicyjnie. Chcemy uniknąć sytuacji jak z Nowym Interfejsem, który został wypuszczony ludziom na etapie prac, które mogły zrazić ludzi, i teraz rzadko kto chce dać mu drugą szansę mając wciąż w głowie jak działał gdy sprawdzali go poprzednio.
Ad. 4. Zaimplementowanie tychże dodatkowych kodów nie stanowi problemu (kod odpowiedzialny za generowanie + dodatkowa tabelka w bazie z zahashowanymi kodami). Po przejściu pierwszego etapu wdrożenia całkiem prawdopodobne, że zostaną one dodane. W przypadku utraty zarówno urządzenia z hasłami TOTP jak i dostępu do kodów jednorazowych (kartka z wydrukiem została w spodniach, które wyprała mama) zablokowany mail jest sporym ułatwieniem przyspieszającym rozpatrywanie sprawy. Tu flow nie jest jeszcze dopracowany, ale nie wpływa to na ogólną implementację techniczną. Jakieś propozycje?

Killers:
Czy chciałbyś żeby konto nagle Ci się zablokowało w trakcie gry, bo "ktoś" niepoprawnie próbował zalogować się kilka razy na Twoje konto?
Bezpieczeństwo dwuskładnikowej autoryzacji polega na tym, że nie da się odgadnąć który ze składników został niepoprawnie wprowadzony (nie wolno zdradzić żadną akcją typu komunikat czy ban na 15 minut), że nieprawidłowo wpisano tylko jeden ze składników.
Wyświetlanie użytkownikom logów z nieprawidłowych logowań wykracza poza zakres implementacji rozwiązania 2FA i dotyczy bardziej ogólnego podejścia do logów z prób zalogowania się do gry. Nie mam aktualnie zleconej zmiany w tej materii. Może Mykfanith mógłby się czegoś dowiedzieć w imieniu graczy - ja chciałbym się skupić na implementacji rozwiązań, żeby Ekipa mogła "dowieźć" wszystko sprawnie i na czas.
2021.04.07 08:08:56
Ocena: 5
cytuj | ID:44847836

Samikosar

3151296
6189
DevilaN:
A jakie pełne zmiany wiązałyby się wraz z wprowadzeniem proponowanego systemu w regulaminie Margonem?
Logi logowań w konfiguracji jednak by się może i przydały przy okazji, dlaczego polityka firmy w tej kwestii jest taka a nie inną?
Ewentualnie google jeszcze generuje kody, każdy na telefon może pobrać, może coś z tym połączyć?
2021.04.07 08:58:47
zgłoś | ignoruj | cytuj | ID:44847940

Aresto Momentum

302120
423
DevilaN:
Czy w związku z 2FA zostanie wprowadzona jakaś pamięć urządzeń? Mam w sumie trzy urządzenia z których naprzemiennie korzystam, włączam na przykład apke, a potem wracam do expa na desktopie - czy jest możliwość żebyśmy mogli zapamiętać sobie te urządzenia, żebyśmy nie musieli za każdym razem przechodzić pełnego uwierzytelniania z użyciem kodów, oraz wylistowac zapamiętane urządzenia w konfiguracji?

Jeszcze pytanie numer dwa - jak planujecie testy? Czy będzie to udostępnione od razu wszystkim czy będziecie to na początku udostępniać wybranym graczom, aby jeszcze sprawdzili czy na pewno wszystko jest okej?
Edytowany 10:15:42 7.4.2021 przez Aresto Momentum
2021.04.07 10:07:26
zgłoś | ignoruj | cytuj | ID:44848051

Slavcio

217350
651
DevilaN:
Bardzo fajnie, że zajmujecie się tematem 2FA, jednakże chciałbym jeszcze wspomnieć o bardzo patologicznym (w moim mniemaniu) systemem blokowania kont i odwołań. Nałożenie bana skutkuje tym, że nie można zalogować się na konto. W przypadku odwołania skutkuje to tym, że trzeba założyć nowe konto, z którego należy napisać na panel kontaktowy. Pracownik panelu nie wie, czy ma do czynienia z właścicielem zbanowanego konta, więc wypytuje gracza o ustawione zabezpieczenia konta(!) i dopiero wtedy zgłoszenie jest rozpatrywane.

Jednym z zabezpieczeń konta jest numer telefonu. Skoro jest on w konfiguracji konta ukryty, to domniemam, że w bazie jest przechowywany w postaci skrótu, co jest pożądane. Jednakże, jeśli kogoś konto zostało zbanowane i chciałby się odwołać, musi podać numer telefonu w treści ticketu (patrz https://support.garmory.pl/s/margonem.pl/pl/28/265/bany-i-odwolania/otrzymalem-blokade-konta-w-jaki-sposob-moge-sie-od-niej-odwolac). W całym procesie zapewne wykorzystywana jest metoda zwracająca, czy numer telefonu należy do konta o danym id, czy też nie (aby pracownik panelu nie miał możliwości widzieć wszystkich numerów telefonów graczy). Problem w tym, że w takiej sytuacji numery telefonów można wyciągnąć z treści ticketów (które na pewno są zapisywane w postaci plaintext). Drugą kwestią jest to, że według Waszej polityki przetwarzania danych osobowych, numer telefonu nie jest przetwarzany w celu uwierzytelniania przy odwołaniach od banów (patrz https://pomoc.margonem.pl/index/view,325)

3. Zbiór danych gromadzonych i przetwarzanych przez Usługodawcę obejmuje następujące dane, ze wskazaniem celów, dla których są gromadzone i przechowywane
(...)
b) numer telefonu:
- zabezpieczenie konta przed kradzieżą,
- weryfikacja przy odzyskiwaniu hasła do konta,
- rozpatrywanie reklamacji dotyczących zakupu Smoczych Łusek w grze,


Dlaczego zbanowanie konta nie może skutkować tym, że gracz nie ma możliwości pisania postów na forum (gotowa funkcja - knebel) oraz wejścia do gry (kiedyś pożyczka SŁ skutkowała brakiem możliwości wejścia do gry)? Rozwiązanie wydaje się być całkiem proste, ale zapewne jako zwykły gracz, czegoś nie jestem w stanie dostrzec.
2021.04.07 10:50:41
zgłoś | ignoruj | cytuj | ID:44848139

DevilaN

133745
265
Samikosar:
A jakie pełne zmiany wiązałyby się wraz z wprowadzeniem proponowanego systemu w regulaminie Margonem?

Nie rozumiem pytania. Rozwiń proszę o jaki aspekt techniczny pytasz.

Logi logowań w konfiguracji jednak by się może i przydały przy okazji, dlaczego polityka firmy w tej kwestii jest taka a nie inną?

Nie wiem. To pytanie dla osób, które układają regulaminy.

Ewentualnie google jeszcze generuje kody, każdy na telefon może pobrać, może coś z tym połączyć?

Kody generowane przez google nie są związane z kontem google. Powoduje to szereg trudności przy utracie urządzenia czy tworzeniu kopii zapasowych. Jest jakiś sens używania kodów google gdy można użyć rozwiązania dobrze udokumentowanego i wspieranego przez wiele innych aplikacji?



Aresto Momentum:
Czy w związku z 2FA zostanie wprowadzona jakaś pamięć urządzeń?

Na chwilę obecną nie. Co prawda realizacja tego przez httpOnly cookie powinna zagwarantować, że ciasteczka nie da się podwędzić instalowanymi z zewnątrz przez nieostrożnych użytkowników dodatkami (chociaż widziałem w betach TamperMonkeya różne machinacje aby to obchodzić), ale przy opisywanej przez Ciebie zmianie z logowaniem się na przemian na telefonie i w przeglądarce wymagałoby to pamięci kilku "zaufanych" urządzeń zamiast jednej sesji. Jeżeli będzie na to duże zapotrzebowanie to w przyszłości można pewno będzie to zrobić, ale zazwyczaj jest to wybór pomiędzy bezpieczeństwem a wygodą.

Jeszcze pytanie numer dwa - jak planujecie testy? Czy będzie to udostępnione od razu wszystkim czy będziecie to na początku udostępniać wybranym graczom, aby jeszcze sprawdzili czy na pewno wszystko jest okej?

Rozwiązanie przejdzie testy wewnętrzne. Na początku dostęp do niego będą mieli wszyscy pracownicy i będzie wymagane aby każdy z nich przetestował na swoim koncie autoryzację przechodząc przez kroki w poradniku (co zweryfikuje też czy poradnik jest wystarczająco jasno napisany).

Slavcio:
Na pytanie dotyczące regulaminu nie jestem w stanie odpowiedzieć, bo to nie moja działka. Na pytania dotyczące logowania się z banem mógłbym odpowiedzieć, ale nie dotyczą one omawianego tematu więc nie będę śmiecił.
2021.04.07 12:40:28
Ocena: 3
cytuj | ID:44848485

Wrilan

3431203
2182
DevilaN napisał(a):

Jeszcze pytanie numer dwa - jak planujecie testy? Czy będzie to udostępnione od razu wszystkim czy będziecie to na początku udostępniać wybranym graczom, aby jeszcze sprawdzili czy na pewno wszystko jest okej?

Rozwiązanie przejdzie testy wewnętrzne. Na początku dostęp do niego będą mieli wszyscy pracownicy i będzie wymagane aby każdy z nich przetestował na swoim koncie autoryzację przechodząc przez kroki w poradniku (co zweryfikuje też czy poradnik jest wystarczająco jasno napisany).


Czy takie rozwiązanie jest należycie testowane? Nie chodzi mi o testy na zasadzie "kliku klik, ale fajnie działa" tylko chodzi mi o testy penetracyjne.
2021.04.09 16:24:53
zgłoś | ignoruj | cytuj | ID:44854628

Figaxin

313255
874
Zarządca Świata Prywatnego
DevilaN napisał(a):
Ad. 2. Nie przewidziano zmiany w scenariuszu resetowania hasła. TOTP i hasło są dwoma niezależnymi czynnikami, a blokada maila powinna zapobiec nadużyciom. Prosiłbym o uzasadnienie ewentualnej potrzeby zmiany scenariusza resetowania hasła, a rozpatrzy się czy jest konieczne zmianę wprowadzać w pierwszej iteracji czy zakolejkować ją do wdrożenia po wprowadzeniu podstawowych funkcjonalności.

Bezpieczeństwo dwuskładnikowej autoryzacji polega na tym, że nie da się odgadnąć który ze składników został niepoprawnie wprowadzony (nie wolno zdradzić żadną akcją typu komunikat czy ban na 15 minut), że nieprawidłowo wpisano tylko jeden ze składników.

Zwiększa to znacząco bezpieczeństwo gdyż atakujący nie jest w stanie w pierwszym kroku rozgryźć loginu i hasła by później zajmować się "tylko" drugim składnikiem.

Zakładając, że uda się "złośliwie" zresetować hasło, do odgadnięcia przy logowaniu zostaje TOTP, a to psuje to, co podkreślałeś. Nie potrafię ocenić czy warto się tym zajmować, chciałem tylko to zauważyć.

Ad. 4. Zaimplementowanie tychże dodatkowych kodów nie stanowi problemu (kod odpowiedzialny za generowanie + dodatkowa tabelka w bazie z zahashowanymi kodami). Po przejściu pierwszego etapu wdrożenia całkiem prawdopodobne, że zostaną one dodane. W przypadku utraty zarówno urządzenia z hasłami TOTP jak i dostępu do kodów jednorazowych (kartka z wydrukiem została w spodniach, które wyprała mama) zablokowany mail jest sporym ułatwieniem przyspieszającym rozpatrywanie sprawy. Tu flow nie jest jeszcze dopracowany, ale nie wpływa to na ogólną implementację techniczną. Jakieś propozycje?

Kody zapasowe nie powinny być łatwiejsze do złamania niż TOTP. Odpowiednia długość, jednorazowość, ograniczenie zapytań w czasie, pokazanie graczowi tylko raz. Flow powinien bardziej przypominać resetowanie niż regularne, standardowe logowanie.

Rozwiązanie przejdzie testy wewnętrzne. Na początku dostęp do niego będą mieli wszyscy pracownicy i będzie wymagane aby każdy z nich przetestował na swoim koncie autoryzację przechodząc przez kroki w poradniku (co zweryfikuje też czy poradnik jest wystarczająco jasno napisany).

Przechodzenie bez poradnika może dać ciekawsze efekty Pracownicy powinni przejść przez negatywne ścieżki, próbować coś zepsuć na każdym etapie, włącznie ze sprawdzeniem 24h ważności linka, zgubieniem sekretu, bycia obsłużonym przez support w takiej sytuacji itp.
2021.04.09 20:33:59
zgłoś | ignoruj | cytuj | ID:44855187

DevilaN

133745
265
Wrilan:
Czy takie rozwiązanie jest należycie testowane? Nie chodzi mi o testy na zasadzie "kliku klik, ale fajnie działa" tylko chodzi mi o testy penetracyjne.

Różne postrzegania zwrotu "należycie testowane" istnieją. Rozwiązanie jest zgodne ze opisami RFC. Flow samego kodu TOTP jest znany i powszechnie przyjęty w Internecie. Zabezpieczenie to z pewnością nie wpływa negatywnie na bezpieczeństwo konta.
Projekt i sposób wdrożenia rozwiązania jest mój (jeżeli Cię to jakkolwiek pociesza). Rozwiązanie przechodzi Code Review u innego programisty. Z innymi pracownikami, którzy również mają doświadczenie związane z nadużyciami różnych mechanizmów w grach omawiamy słabe i mocne punkty rozwiązania i ewentualnie "łatamy kod / koncepcję".

Figaxin:
Zakładając, że uda się "złośliwie" zresetować hasło, do odgadnięcia przy logowaniu zostaje TOTP, a to psuje to, co podkreślałeś. Nie potrafię ocenić czy warto się tym zajmować, chciałem tylko to zauważyć.

Brak TOTP wiązałby się automatycznie ze włamem. Przy kodach 6 cyfrowych masz 1 000 000 milion możliwości do sprawdzenia. Zakładając okno czasowe 30 sekund oraz pozwolenie użytkownikowi na rozsynchronizowany zegar / opóźniony kod, co daje nam akceptację jednego kodu wcześniej, prawdopodobieństwo trafienia we właściwy kod to 1 do 500 000. Jeżeli wziąć pod uwagę, że akcja logowania się jest ograniczona do 1 akcji na sekundę daje to 30 prób z prawdopodobieństwem 1:500k każda. Oznacza to, że statystycznie kod zostanie złamany z prawdopodobieństwem 1:16666 w ciągu tych 30 sekund. Daje nam to niecałe 6 dni próbowania bez przerwy bez gwarancji powodzenia. Oczywiście może się zdarzyć tak, że ktoś trafi za pierwszym razem albo za setnym. Ni mniej jednak nie ma rozwiązań doskonałych.
Naszym zadaniem jest zwiększyć bezpieczeństwo konta i znacząco utrudnić włamanie na nie. Nie istnieją mechanizmy, które całkowicie zabezpieczają przed wszystkimi kataklizmami - inaczej nie słyszałoby się o włamaniach / wyciekach danych od małych firemek i od gigantów jak Google czy FB.
Kody zapasowe nie powinny być łatwiejsze do złamania niż TOTP.

I tak też będzie. To powszechny standard. Nie byłoby sensu gdyby miały tę samą długość. Bardziej interesowałoby mnie aby opisać do czego, poza wejściem po zgubieniu źródła kodów TOTP, miałyby służyć. O wdrożenie bym się nie martwił...
Przechodzenie bez poradnika może dać ciekawsze efekty

Zapewne tak, ale minimum informacji jakieś musi być. Chociażby "Dodaliśmy hasła jednorazowe. Spróbuj je uruchomić na swoim koncie."

---

Na osłodzenie weekendu screen z wersji roboczej ekranu aktywacji (sha-256 z informacji ze screena nie jest aktualne, na obrazku kod z sha512), który pojawia się po odwiedzeniu linka wysłanego mailem.
https://imgur.com/Iyxvs4L.png
Edytowany 21:37:55 9.4.2021 przez DevilaN
Edytowany 21:39:46 9.4.2021 przez DevilaN
Edytowany 21:41:07 9.4.2021 przez DevilaN
2021.04.09 21:37:43
Ocena: 2
cytuj | ID:44855310

Cichutka śmierc

718
9
DevilaN:
Czy wprowadzenie TOTP nie będzie utrudniało logowania/gry na telefonie, a wręcz uniemożliwiało? (Chodzi mi o to jak ktoś gra na przeglądarce)
Edytowany 22:34:05 9.4.2021 przez Majtki w kale
2021.04.09 22:33:16
zgłoś | ignoruj | cytuj | ID:44855461

Evangelyne

300345
1042
DevilaN:
Witaj, czy wprowadzając te zabezpieczenie, macie na celu ograniczenie graczom gre na passach? jeśli kod przychodzi na email, gracze dalej będą zakładać fejk konta, na które będą rzucać zasta. Zmieni sie tylko to, że dorobią pocztę do której każdy zainteresowany będzie miał dostęp, przez co dalej każdy będzie mógł sie u każdego logować.
Zmieni sie tylko czas, teraz jedna osoba nie zaloguje 10 kont o 3 w nocy w minute, zajmie jej to dwie minuty by zbić tytan. Jak dla mnie usunięcie "zastępców" lub ich blokad w dużej mierze ograniczy gre na passach, teraz to ciche przyzwolenie Garmory na łamanie regulaminu!
2021.04.10 09:51:36
zgłoś | ignoruj | cytuj | ID:44855875

DevilaN

133745
265
Majtki w kale:
Czy wprowadzenie TOTP nie będzie utrudniało logowania/gry na telefonie, a wręcz uniemożliwiało? (Chodzi mi o to jak ktoś gra na przeglądarce)

Zabezpieczenie nie jest obligatoryjne. Jeżeli ktoś jest takim masochistą, że sobie je ustawi, a nie potrafi wprowadzić kodu lub zapamiętać / zapisać 6 cyfr aby zdążyć w ciągu 30-60 sekund wpisać ich ponownie to faktycznie ma problem.

Erstarik:
Witaj, czy wprowadzając te zabezpieczenie, macie na celu ograniczenie graczom gre na passach?

Po co mają to robić skoro mogą w ogóle nie włączać autoryzacji dwuskładnikowej? Obrazkiem QR umożliwiającym wpisywanie kodów TOTP można się podzielić tak samo jak hasłem. Natomiast o ile można podejrzeć czyjś logpass jak wpisuje, tak dla konta z włączoną autoryzacją dwuskładnikową kody TOTP zmieniają się co 30 sekund więc sama znajomość logpassa nie powoduje od razu tego, że ktoś ukradnie Ci konto.
2021.04.11 15:31:07
cytuj | ID:44858480

Evangelyne

300345
1042
DevilaN:
Czyli kolejne zbędne na tą chwile zabezpieczenie, zróbcie coś co polepszy grę. Obecnie gdzie nie pójdę na elite drugą, stoi tam 5-10 kont kręcących sie co 10minut o dwie kratki logowanych przez 1 osobę(jakże nie inaczej, anty duszek jest ominięty). Tytan zbijany w dwie osoby na dziesięciu kontach o każdej porze, nawet nie trzeba dzwonić do kumpli o 3 w nocy. Problem sie powiększył wraz z wejściem zabezpieczeń zastępców, teraz każdy sie nie boi dać możliwość grać u siebie 3-5 osobom... Eventy, wyglądają tak że ktoś odpala dziesięć kont i stawia na kamyku. Pograj chwile w margonem to sam stwierdzisz że w wasz produkt sie nie da grać.
Edytowany 18:21:50 11.4.2021 przez Erstarik
2021.04.11 16:50:26
Ocena: -10
zgłoś | ignoruj | cytuj | ID:44858680

DevilaN

133745
265
Hej.

Kody TOTP mamy gotowe, ale jeszcze nie do końca przetestowane.
Niestety ze względu na ogarnianie kwestii związanych z naruszeniem zabezpieczeń nie jesteśmy w stanie wypuścić tego zgodnie z planem dzisiaj.

Dziękuję wszystkim za cierpliwość i przepraszam za opóźnienie.
Jeżeli nic się nie zmieni, to kody jednorazowe powinny pojawić się z początkiem przyszłego tygodnia.
Edytowany 13:56:19 15.4.2021 przez DevilaN
2021.04.15 13:55:53
Ocena: 11
cytuj | ID:44868313

Richie Rich

3162353
6268
DevilaN:
Hej.
Mam pytanie odnośnie captchy. Czy zostanie ona kiedyś zmieniona? Aktualnie czasem obrazki są takie, że nawet mając dobry wzrok nie potrafię dopatrzeć się prawidłowej liczby na obrazku.
2021.04.22 18:07:38
zgłoś | ignoruj | cytuj | ID:44884753

Slatya

365579
998
Graves:
Bo większości jest jakiś znak między liczbami i jest to mylące.
Zazwyczaj widzisz liczbę i szukasz takiej odpowiedzi lub dopasowujesz którąś z odpowiedzi do obrazka.
A jeśli naprawdę jest niewidoczna bardzo to są jeszcze 2 szanse.
2021.04.22 20:03:39
zgłoś | ignoruj | cytuj | ID:44885064

Arrenmus Pattyn

317304
1851
DevilaN:
Jak już ogarniecie sprawę z wyciekiem danych to warto było by wprowadzić przypisanie konta do numeru telefonu. Ograniczy to znacząco przyrost botów i multi, bo obecnie typ dostaje bana zakłada nowe konto i dalej boci. W czasie gdy to pisze na Zorzy na wodnikach lata 6 botów. Zakładając że średnia rodzina to 4-5 osób koleś który robi multi po 5-6 koncie musiałby kupować startery po 5 zł. Teraz trzeba je rejestrować więc kupując kilka traci się trochę czasu aż sprzedawca porejestruje.

Zapomniałem wspomnieć że aby to zrobić musielibyście mieć dobrą i bezpieczną bazę numerów.

Jeszcze jedno Captcha nie działa na boty.

@dół chciałem wspomnieć że to od Garmory zależy czy baza haseł będzie bezpieczna. Nawet jeśli ma tracić to niech traci te 50zł. Jeśli szybko dostanie bana. Zakładając że rejestracja numeru to 30 sekund to na 10 kont traci 5 min życia.
Edytowany 11:22:23 24.4.2021 przez Arrenmus Pattyn
2021.04.23 09:35:27
zgłoś | ignoruj | cytuj | ID:44885888

Jace Herondale

33165
208
Arrenmus Pattyn:

Po pierwsze wg mnie większość graczy, w tym uczciwie grający, negatywnie odniosłoby się do takiego pomysłu. Moim zdaniem nie powinno się narzucać graczom konieczności ustawienia numeru telefonu aby mogli zagrać, tym bardziej w świetle ostatnich wydarzeń.

Po drugie czy Ty na serio myślisz, że 5zł wydane na starter byłoby dla bociarza jakąś przeszkodą? Zrobi x kont, jeszcze mu się zwróci z nawiązką i jedyne co to będzie się śmiał z tych 5 złotych i "zabezpieczeń". Strata czasu też raczej nikogo przed rejestracją x nowych numerów nie powstrzyma.

Po trzecie w jaki sposób zamierzasz zweryfikować, że baza numerów jest "dobra i bezpieczna"?
2021.04.23 15:49:17
zgłoś | ignoruj | cytuj | ID:44886643

DevilaN

133745
265
Update odnośnie wdrożenia 2FA:
W trakcie wewnętrznych testów okazało się, że rozwiązanie 2FA nie jest jeszcze na satysfakcjonującym nas poziomie, który pozwoliłby oddać Wam ten mechanizm w użytkowanie.
Dokonujemy poprawek aby uczynić proces aktywacji jak najbardziej intuicyjnym oraz testujemy pod kątem nadużyć mechanizmu (np. zabezpieczenie przed wielokrotnym częstym wysyłaniem kodów bez ograniczeń).
Niestety równolegle mamy bardzo wiele różnej pracy powiązanej z ostatnim naruszeniem zabezpieczeń, która utrudnia ustalenie konkretnej daty wdrożenia rozwiązania 2FA, przez co prace nad tą funkcjonalnością się opóźniają.
2021.04.23 15:58:26
Ocena: 12
cytuj | ID:44886659

mykon bubr betoniak

31423
102
Jace Herondale:
Arrenmus Pattyn:

Dodam, że jako osoba możemy zarejestrować 20 numerów, a na firmę 100. W sumie miałoby to jakiś sens no ale wiadomo jak to ostatnio z zabezpieczeniami Garmory. Sam byłem w stanie podać numer do weryfikacji konta jeżeli zostałoby to wprowadzone, lecz po ostatnich wyciekach zrezygnowałem z tego pomysłu całkowicie. Już i tak dostaję smsy o fałszywych paczkach itp itd
2021.04.26 00:12:20
Ocena: 1
zgłoś | ignoruj | cytuj | ID:44891423

Mroźny Jeździec

1210
15
Droga ekipo garmory na waszym miejscu wprowadziłbym możliwość zmiany loginu konta margonem co po pierwsze utrudniło włamanie na konto, a po drugie dotychczas zdobyte przez włamywaczy loginy były bezużyteczne.
2021.05.08 22:32:01
zgłoś | ignoruj | cytuj | ID:44916036

Charlene

3103364
6117
Włączając aktywację 2FA w odpowiedzi na mailu pod koniec widnieje wiadomość:
W razie problemów zapoznaj się z poradnikiem pod adresem: https://pomoc.margonem.pl/index/view,356

Przekierowanie prowadzi do strony, która nie istnieje: 404 - page no found
2021.05.19 12:59:21
zgłoś | ignoruj | cytuj | ID:44933016

Wróżka Zymbuszka

293460
858
Charlotta:

https://imgur.com/a/HNkQD6f

nwm czy to był błąd z południa czy coś u Ciebie
2021.05.19 19:03:21
Ocena: 1
KONTO ZABLOKOWANE | zgłoś | ignoruj | cytuj | ID:44933526

Probllem

2432
57
Zróbcie tak, żeby dało się zablokować przepalanie konkretnych itemów (konkretny item z numerkiem, a nie ogólnikowo) - bo skoro można podjąć świadomą decyzję o nieodwracalnym zniszczeniu itemku to logicznym jest, żeby dało się na stałe zablokować taką możliwość. Chodzi głównie o to, żeby potencjalny włamywacz nie mógł na zawsze zniszczyć całego eq. Pozdrawiam
2021.05.20 20:54:48
zgłoś | ignoruj | cytuj | ID:44935457

Vigelall

22784
127
Proponuje dodanie:
1. Informacja o ostatnim nieudanym logowaniu
2. Informacja skąd, logowano się na konto w przeciągu danego okresu czasu
2021.06.17 19:06:12
zgłoś | ignoruj | cytuj | ID:44993877

Valamir Nightblade

83-40
28
https://cdn.discordapp.com/attachments/840274664739045466/871855080377294878/fdf.png

Powinno Was to zainteresować...
Edytowany 22:41:58 2.8.2021 przez Valamir Nightblade
2021.08.02 22:41:38
KONTO ZABLOKOWANE | zgłoś | ignoruj | cytuj | ID:45062371

Lotvis

346507
1420
Vigelall:
A do tego wszystkiego zapamiętanie tokenu na danym urządzeniu przez okres dwóch tygodni.
2021.10.13 21:33:11
Ocena: 1
zgłoś | ignoruj | cytuj | ID:45148436

Mykluor

197150
1255
Adres email jest ukryty w konfiguracji, ale i tak można go podejrzeć wchodząc w płatności imoje -> wykonaj płatność. Chyba nie tak to powinno działać.
2021.10.18 08:13:19
Ocena: 3
zgłoś | ignoruj | cytuj | ID:45152720

Devil Hunter

12013
41
Pierwsza myśl to zwykła, prosta captcha na boty, która rozwiązałaby wiele problemów. Nie piszę o osobach, które siedzą od rana do wieczora, o tych którzy siedzą na wirtualu za vpn'em czy w końcu o tych, którzy grają na kilku laptopach, bo w Margonem gra ich dziadek, babcia, a nawet stryjeczny stryjek od strony ojca matki, tylko o osobach używających nielegalnego oprogramowania, które zabija nie tylko ekonomię, ale także politykę biznesową tej gry.

Pozdrawiam
2021.10.27 19:12:41
Ocena: -1
zgłoś | ignoruj | cytuj | ID:45163207
Początek strony Strona: [1] [2]

Tylko zalogowani gracze mogą pisać posty

Forum Margonem > Dyskusje techniczne > Zabezpieczenia gry - dyskusja

Podaj powód dlaczego oceniasz post na

Pozostało ważnych głosów na dziś: 0, po przekroczeniu limitu
Twój głos pokaże się przy wiadomości, ale nie doliczy się do reputacji gracza.


* pole nieobowiązkoweLimit znaków 0/50

Zgłoszenie postu do moderacji.
Poniżej możesz podać powód Twojego zgłoszenia.

Pamiętaj, że za bezsensowny komentarz możesz otrzymać knebla i stracić swoją reputację.

Limit znaków 0/150

-- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -
AND grp=0