paladiny.ru
Регистрация
Забыли пароль?

запомнить
Новости | Структура Ордена | Устав Ордена | Перекрестки миров | Форум | Фотогалерея БК  |  Dwar  |  Magic  |  RIOT   










Форум: Всё, что ты думал о паладинах, но боялся сказать: мой собственный топик. вотЬ.

Вы в разделе:  

Форумы ордена паладинов: Всё, что ты думал о паладинах, но боялся сказать: мой собственный топик. вотЬ.

Гостям запрещено писать на форуме. Зарегистрируйтесь


Страницы: 1 | 2 | 3 | 4 | 5


  
Дата: 27.12.2004 18:47, №21186, Заголовок:

что я думаю по поводу мультоводства.
1. скан паспоротов и др. документов.
достать скан документа проще простого. позаимствовать у друга. или взять что-нить менее защищеное и отфотошопить
2. отпечаток пальца. даже если появится возможность это делать. то отпечаток большого пальца не похож на отпечаток указательного. веди никто не стоит над человеком и не проверяет какой пачец он отсканировал. а сравнивать скан ладони еще дольше.
3. USB-ключь. ничто не препятствует купить 2! да и высылка этого ключа в США будет по стоимости равно самому ключу если не дороже. еще стоимость. ведь за бесплатно никто делать не будет
4. клю-файл. что мешает обзавестись 2-мя?

тут нуна придумать что-нить кардинальное...

  


  
Дата: 27.12.2004 19:42, №21208, Заголовок:

Аллинайо писал(а):
Думаю, следует разделить задачи и искать отдельное решение для каждой. О ключевой аутентификации какие есть мысли? Усложнит процесс регистрации?
требует вмешательства админов и усложнит жизнь игрокам. не хочется

На самом деле, усложнение небольшое. Нужно только ввести произвольный текст и надежно схранить ключ, а при проверке вести его снова.
Без вмешательства админов можно обойтись, если создание ключей не включать в процесс регистрации программно.

  


  
Дата: 27.12.2004 20:10, №21219, Заголовок:

Кожемяка писал(а):
Аллинайо писал(а):
Думаю, следует разделить задачи и искать отдельное решение для каждой. О ключевой аутентификации какие есть мысли? Усложнит процесс регистрации?
требует вмешательства админов и усложнит жизнь игрокам. не хочется

На самом деле, усложнение небольшое. Нужно только ввести произвольный текст и надежно схранить ключ, а при проверке вести его снова.
Без вмешательства админов можно обойтись, если создание ключей не включать в процесс регистрации программно.

Два вопроса.

1. Что будет, если этот ключ забыть/потерять?
2. Чем ключ отличается от ответа на секретный вопрос?

  


  
Дата: 27.12.2004 20:19, №21222, Заголовок:

Mahpella писал(а):
1. Что будет, если этот ключ забыть/потерять?
2. Чем ключ отличается от ответа на секретный вопрос?

1. Придется подтверждать права на чара каким-то другим способом, или ты его потеряешь.
2. Можно доказать, что владеешь ключом, не раскрывая его никому.

  


  
Дата: 27.12.2004 21:38, №21239, Заголовок:

Кожемяка писал(а):
Mahpella писал(а):
1. Что будет, если этот ключ забыть/потерять?
2. Чем ключ отличается от ответа на секретный вопрос?

1. Придется подтверждать права на чара каким-то другим способом, или ты его потеряешь.
2. Можно доказать, что владеешь ключом, не раскрывая его никому.

1. А смысл тогда в таком ключе?
2. Да? А я вродь никому ответ на секретный вопрос не говорю, когда прошу к примеру пароль выслать. Ключ можно узнать также как и ответ на вопрос, азначит знание ключа не будет док-вом того, что перс действительно мой.

  


  
Дата: 27.12.2004 21:48, №21243, Заголовок:

если идет передача/продажа чара то 100% передается е-мыло и будет передаваться остальные подтверждающие документы. ведь ничто не стоит оставить покупателю скан пасспорта и замазаной серией и номером. и фотографией.
если идет взлом. то тут уже другое.

  


  
Дата: 27.12.2004 21:53, №21248, Заголовок:

Mahpella писал(а):
Кожемяка писал(а):
1. Придется подтверждать права на чара каким-то другим способом, или ты его потеряешь.
2. Можно доказать, что владеешь ключом, не раскрывая его никому.

1. А смысл тогда в таком ключе?
2. Да? А я вродь никому ответ на секретный вопрос не говорю, когда прошу к примеру пароль выслать. Ключ можно узнать также как и ответ на вопрос, азначит знание ключа не будет док-вом того, что перс действительно мой.

1. Смысл в п.2 и в том, что практически нельзя угадать ответ.
2. Ответ на секретный вопрос ты дважды отправляешь через веб-форму. Первый раз - когда регистрируешься, второй - когда восстанавливаешь пароль. И он хранится на сервере, который тебе неподконтролен и с которого может произойти утечка. Но если нет такой паранойи, то и ответа на секретный вопрос хватало бы. Если б, конечно, его сменить было нельзя, не зная ответа.

  


  
Дата: 27.12.2004 21:55, №21251, Заголовок: [Удалено Аллинайо]
Удалено
  


  
Дата: 28.12.2004 00:17, №21293, Заголовок: [Удалено Аллинайо]
Удалено
  


  
Дата: 28.12.2004 01:40, №21310, Заголовок:

одна лишь мысль, что надо отсканить официальный документ, чтобы послать его "на деревню дедушке", другими словами, неизвестно кому, меня коробит, честно говоря.. тоже самое и касаемо предложения Кожемяки насчет отпечатков пальцев..

  


  
Дата: 28.12.2004 01:43, №21311, Заголовок:

BEMBI писал(а):
одна лишь мысль, что надо отсканить официальный документ, чтобы послать его "на деревню дедушке", другими словами, неизвестно кому, меня коробит, честно говоря.. тоже самое и касаемо предложения Кожемяки насчет отпечатков пальцев..

И вообще с любой персональной инфой, это точно. Но все-таки, чем можно пожертвовать ради чара?

  


секретарь
  
Дата: 28.12.2004 01:45, №21313, Заголовок:

Кожемяка... оставьте Вашу паранойю. и с Вами мы все в чате выяснили в беседе, Вы признали, что у Вас нет идей - сорри, но попрошу не флудить

Бэмби, предложитеи замену. то и ищу

  


  
Дата: 28.12.2004 02:00, №21316, Заголовок:

Кожемяка писал(а):
Но все-таки, чем можно пожертвовать ради чара?
по крайней мере, не настолько личной информацией

Аллинайо писал(а):
Бэмби, предложитеи замену. то и ищу
к сожалению, я довольно мало что знаю о возможностях кодирования информации и т.д. но есть вопрос: а в каком виде хранится на сервере секретный вопрос и ответ на него?

  


  
Дата: 28.12.2004 02:15, №21322, Заголовок:

Аллинайо писал(а):
Кожемяка... оставьте Вашу паранойю. и с Вами мы все в чате выяснили в беседе, Вы признали, что у Вас нет идей - сорри, но попрошу не флудить

Прошу прощения, если где нафлудил сверх меры. На счет идей прошу понять меня правильно, их есть у меня, но ни одна из них не может удовлетворять всем вашим противоречивым критериям. И, уверяю, здоровая паранойя в вопросах защиты информаии еще никому не навредила.

Что там с процедурой регистрации, ее вообще можно хоть как-то изменить?

  


  
Дата: 28.12.2004 02:41, №21325, Заголовок:

Мысля... бредовая, но все таки попробую.

1. Регистрация. Пользователь придумывает свой пароль + ему автоматом выдают пароль (секретный), сгенерированный наподобие второго пароля с горой предупреждений, дабы запомнил как второй пароль - наизусть и во сне - но вспомнил. (чисто теоритически, за искл. "критических моментов" - все будет точно также как и сейчас)

2. Этот пароль НИГДЕ и никогда не вводится, НИГДЕ и НИКОМУ не показывается, НИКОГДА и НИКУДА не высылается.
Вход в игру - такой же как сейчас: придуманный игроком пароль + если есть второй.

3. По какой либо причине возникает подозрение на взлом. В ЛД перса пишется фраза "подозрение на взлом" (не обязательно причиной хаоса/блока - просто фраза). Персу приходит системка о том, что ему необходимо зайти в Клуб с помощью секретного пароля. Приходит каждые полчаса в течение суток с следующего после добавления записи захода.
Системка а-ля "Возможно ваш персонаж взломан. Если вы являетесь владельцем персонажа и он находится под вашим контролем, пожалуйста, зайдите в Клуб с помощью секретного пароля."
Если этого не произойдет в течении суток персонаж будет автоматически отправлен в хаос с причиной "подозрение на взлом". В течении всех суток персонажау будут запрещены передачи как если бы он попросил выслать пароль на почту. При чем, запрет автоматически снимается при заходе по секретному паролю.

Соответственно взломщик не может знать секретный пароль - его настолько редко надо будет вводить (а кому то и не надо вовсе), что узнать его будет просто нереально с помощью взлома - только если "умный" игрок скажет его сам. А значит, пока не будет подтверждения, что заходит владелец чара - любые другие док-ва можно не смотреть - пароль человек знать обязан.

4. Память у нас дырявая, забываем даж как нас самих зовут, если постараться... имхо, "восстановление секретного пароля" должно быть таким же как и у второго пароля - только НОВЫЙ и только через ком.отдел.

====

Мдя... ерунда получилась и не по теме :(
Сорри за флуд. :(

  


  
Дата: 28.12.2004 03:14, №21333, Заголовок:

Mahpella писал(а):
Соответственно взломщик не может знать секретный пароль - его настолько редко надо будет вводить (а кому то и не надо вовсе), что узнать его будет просто нереально с помощью взлома - только если "умный" игрок скажет его сам. А значит, пока не будет подтверждения, что заходит владелец чара - любые другие док-ва можно не смотреть - пароль человек знать обязан.

это полная аналогия секретному ответу, если не ошибаюсь.. а в этом случае вопрос только один: в каком виде хранится эта информация на сервере? т.е. каждый ли, кто имеет доступ (может слить/взломать) к БД, может эту информацию получить?

  


  
Дата: 28.12.2004 03:24, №21334, Заголовок:

BEMBI писал(а):
Mahpella писал(а):
Соответственно взломщик не может знать секретный пароль - его настолько редко надо будет вводить (а кому то и не надо вовсе), что узнать его будет просто нереально с помощью взлома - только если "умный" игрок скажет его сам. А значит, пока не будет подтверждения, что заходит владелец чара - любые другие док-ва можно не смотреть - пароль человек знать обязан.

это полная аналогия секретному ответу, если не ошибаюсь.. а в этом случае вопрос только один: в каком виде хранится эта информация на сервере? т.е. каждый ли, кто имеет доступ (может слить/взломать) к БД, может эту информацию получить?

Не совсем. Ответ на вопрос:
1. придумывает сам игрок, а значит в 99% случаях он либо очень легко угадывается/подбирается, либо просто очень простой.
2. ответ в 99,9999% случаев смысловой и ОЧЕНЬ редки исключения.
3. ответ на вопрос вводить надо чаще, чем секретный пароль. пароль нужен только при подозрении о взломе. У тебя часто у перса подозрение на взлом?

На счет того, как хранить.
В идеале - по принципу паролей в юниксе.
Т.е. храниться исключительно в зашифрованно виде. При вводе пароля из базы ничего НЕ расшифровывют: наоборот, шифруют то, что ввел человек и проверяют совпадает или нет. Т.е. сам пароль не фигуриерует при этом.

  


  
Дата: 28.12.2004 03:26, №21336, Заголовок: [Удалено Аллинайо]
Удалено
  


  
Дата: 28.12.2004 05:04, №21354, Заголовок: [Удалено Аллинайо]
Удалено
  


  
Дата: 28.12.2004 13:18, №21445, Заголовок: [Удалено Аллинайо]
Удалено
  

Страницы: 1 | 2 | 3 | 4 | 5




(C) Орден света, 2004