Дата: 29.12.2004 22:21, №21774, Заголовок:

Mahpella (28.12.2004 01:41)
то есть второй пароль как данность ненужен (ну, или ненужен первый, если на то пошло), нужен один пароль на персонажа и второй - как палочка выручалочка - так вкратце?

BEMBI (28.12.2004 02:14)
не суть, как хранятся данные на сервере
за все время существования БК базу данных не ломали, а если её сопрут, то ничего не поможет.

однако.
допустим, открыть дополнительный сервис на паладинском, где каждый желающий будет получать сгенерированный код и на случай взлома предъявлением этого кода заменит предъявление документа. вариант нужный или нет?

Дата: 29.12.2004 22:30, №21775, Заголовок:

Аллинайо
1.в построении защиты не разбираюсь поэтому хотелось бы узнать какова степень защиты на вашем сайте? чисто мое имхо в БК она лучше.
2. вероятность получения этого года стороними лицами? или паладинами? ведь ни для кого не секрет что иногда попадаются не больно надежные люди.
3. так же некоторые персы идут сюда только для того чтоб узнать результаты проверки, или подать заявку на разхаос/разблок. т.е. не все проходят проверку на подлинность.
4. на последок могут опять поднять вопли что пользуетесь паладинскими штучками для поднятия рейтинга.(но это пустяки)

Дата: 29.12.2004 22:33, №21776, Заголовок:

Shitty писал(а):
этого года

этого кода

Дата: 29.12.2004 22:47, №21778, Заголовок:

Аллинайо писал(а):
BEMBI (28.12.2004 02:14) не суть, как хранятся данные на сервере за все время существования БК базу данных не ломали, а если её сопрут, то ничего не поможет.

http://www.paladins.ru/news_comments.php?NewsID=659 :

В связи с последними изменениями в клубе и более чем высокой вероятностью утечки паролей, отдел безопасности Ордена света рекомендует всем сменить пароли на своих героев, либо усилить степень защиты, установив второй (flash) пароль.

Вызывает определенные подозрения, по-моему. Это не говоря уже о многочисленных случаях правки той самой базы, когда появлялись читерские вещи. Шифрование могло бы помочь...

Аллинайо писал(а):
однако. допустим, открыть дополнительный сервис на паладинском, где каждый желающий будет получать сгенерированный код и на случай взлома предъявлением этого кода заменит предъявление документа. вариант нужный или нет?

Если использовать двухключевой алгоритм, то вполне приемлемый вариант. Если его не использовать, то это ослабит защиту: будет два источника возможных массовых утечек критической информации вместо одного.

Дата: 29.12.2004 23:40, №21785, Заголовок:

Аллинайо писал(а):

Mahpella (28.12.2004 01:41) то есть второй пароль как данность ненужен (ну, или ненужен первый, если на то пошло), нужен один пароль на персонажа и второй - как палочка выручалочка - так вкратце? BEMBI (28.12.2004 02:14) не суть, как хранятся данные на сервере за все время существования БК базу данных не ломали, а если её сопрут, то ничего не поможет. однако. допустим, открыть дополнительный сервис на паладинском, где каждый желающий будет получать сгенерированный код и на случай взлома предъявлением этого кода заменит предъявление документа. вариант нужный или нет?

не совсем.
Все так, как есть и сейчас.
Но есть доп. пароль - секретный.
1. Если все в порядке - он не используется вообще. Т.е. не будет загруженности паролями.
2. Его нельзя поменять или сделать похожим на другой пароль - он генерится автоматом самой системой.
3. Он может быть известен ТОЛЬКО владельцу - слишком уже редко его надо вводить, чтобы можно было его как-то увидеть. Соответственно попросив зайти через секретный пароль можно на 90% быть уверенным кто заходит - владелец или взломщик.

На счет того - как хранятся данные... Если данные хранятся и испольщуются ТОЛЬКО в зашифрованном виде, а шифруется только то, что вводит пользователь - то есть большая веростность того, что спертая база взломщику мало что даст: вероятность того, что у взломщика одновременно будут и данные БКшной БД и ключ к шифру - намного ниже вероятности просто взлома БД. ;)

Вариант с сервисом на сайте Ордена - нужный.
Собственно - легче реализуемый и более удобный вариант того, что я предлагала ;)
Только такой пароль должен быть сложным и трудно подбираемым.

Дата: 30.12.2004 11:29, №21880, Заголовок:

Аллинайо писал(а):
не суть, как хранятся данные на сервере за все время существования БК базу данных не ломали, а если её сопрут, то ничего не поможет.

собственно, Кожемяка опередил и написал то, что и я хотела.
конечно, шанс, что будет одновременная утечка и с базы данных БК, и сайта Ордена, маловероятны, но все же есть. только вот тут как раз очень важно, в каком виде украденная информация будет храниться. самое главное, чтоб даже в этом случае ею никто не смог воспользоваться.
в целом, два пароля лучше, чем один, и доп. уровень защиты не помешает.

Дата: 30.12.2004 14:27, №21923, Заголовок:

Рссматривая вариант о сервисе по проверке на полдлинность владельца, привязанный исключительно к сайту Ордена не забывайте, что с некоторого момента существуют тарманы и им видимо нужно быдет такие проверки тоже устраивать, как тогда с этим будет?

Дата: 30.12.2004 16:26, №21937, Заголовок:

BEMBI писал(а):
в целом, два пароля лучше, чем один, и доп. уровень защиты не помешает.

BEMBI писал(а):
конечно, шанс, что будет одновременная утечка и с базы данных БК, и сайта Ордена, маловероятны, но все же есть.

Главное не превратить дополнительный уровень защиты в дополнительный уровень уязвимости. В принципе, два пароля - это все равно что один, но с перемноженной сложностью тех двух, если их надо вводить оба. А если каждый пароль в отдельности дает допуск, то это хуже, чем любой из них сам по себе. Вдвое хуже, если пароли одинаково сложные. Поэтому заранее обольщаться не стоит, если стырят запасной пароль из системы Ордена, то чара можно потерять до высылки сканов, или что там придумается. Запасной пароль должен быть где-то на порядок лучше защищен.

BEMBI писал(а):
только вот тут как раз очень важно, в каком виде украденная информация будет храниться. самое главное, чтоб даже в этом случае ею никто не смог воспользоваться.

Это точно... Только если просто хешировать запасной пароль, как в Юниксе, то его после каждого использования менять надо. Он ведь тогда все равно будет в открытом виде через руки паладинов проходить.

Дата: 30.12.2004 16:48, №21943, Заголовок:

Аллинайо писал(а):
однако. допустим, открыть дополнительный сервис на паладинском, где каждый желающий будет получать сгенерированный код и на случай взлома предъявлением этого кода заменит предъявление документа. вариант нужный или нет?

Хм... я тут подумала...

Допустим, человек не зарегистрирован у вас. Его ломают. Взломщик региться и получает этот код "на случай взлома". Настоящий владалец - уже никак не докажет, что код получен тоже взломщиком.

Дата: 30.12.2004 16:51, №21944, Заголовок:

Кожемяка писал(а):
Это точно... Только если просто хешировать запасной пароль, как в Юниксе, то его после каждого использования менять надо. Он ведь тогда все равно будет в открытом виде через руки паладинов проходить.

если доп. пароль будет использоваться только лишь для подтверждения личности вместо скана документов, то не думаю, что придется его часто менять. насколько сама замена такого пароля проблематична, не могу судить, т.к. я с юниксом строго на "вы":)

Дата: 30.12.2004 16:53, №21945, Заголовок:

Mahpella писал(а):
Хм... я тут подумала... Допустим, человек не зарегистрирован у вас. Его ломают. Взломщик региться и получает этот код "на случай взлома". Настоящий владалец - уже никак не докажет, что код получен тоже взломщиком.

получается обязательная параллельная регистрация, т.е. завел чара и бегом сюда.

Дата: 30.12.2004 16:58, №21947, Заголовок:

Mahpella писал(а):
Допустим, человек не зарегистрирован у вас. Его ломают. Взломщик региться и получает этот код "на случай взлома". Настоящий владалец - уже никак не докажет, что код получен тоже взломщиком.

Это все равно как если бы никакого кода "на случай взлома" вообще не существовало для того юзера. Если взломщик сможет зарегистрировать этот код без доступа к персонажу (просто сломав авторизацию на этом сайте, например), вот тогда плохо.