Перейти к содержанию
Asterios

Drin

Drin
  • Постов

    1 443
  • Зарегистрирован

Весь контент Drin

  1. это в планах с новым клиентом, если не забуду в ближайшее время будет добавлена возможность точить пояса
  2. Drin

    Обновления на Hunter

    На сервере Hunter X55 были исправлены некоторые недочеты, а именно: предопределенные наборы баффов "Атака" и "Другие" неправильные координаты некоторых телепортов из ALT+B некоторые опечатки А так же внесены следющие изменения: повышен рейт адены максимальная заточка повышена до 21 сняты ограничения на заточку свитками - теперь они соответствуют тем же что и при заточке через ALT+B
  3. у нас работает только наш клиент, все сторонние не работают и не заработают никогда по причине того что у нас проприетарное шифрование и модифицированый протокол
  4. Drin

    utopia

    естессно, я просто не люблю общаться с игроками, да и в принципе на форумах, я на пообщаться не всегда успеваю семье и друзьям выделять время... а форум для меня лишь рабочий инструмент, чтобы мониторить появление критических проблем в работе комплекса
  5. Drin

    защита

    Дабы на будущее обезопасится от подобных уязвимостей наш сайт теперь дополнительно ассиметричным шифром криптует данные перед отправкой на уровне самого браузера (JavaScript). Получается сам веб сервер, в нашем случае nginx (память которого было можно считывать благодаря уязвимости) ничего не знает о шифре и в таком же зашифрованном виде передает данные следующей инстанции (php демону), а тот в свою очередь эти данные уже расшифровывает зная приватный ключ который хранится только на сервере. раньше отправка данных выглядела так: теперь же все скрыто
  6. Drin

    защита

    мы прекрасно понимаем, но грубейшее это пренебрежение мерами безопасности и последствия за это мы на себя брать не желаем... вы же не побежите писать заявление на друга которому вы дали покататься на велосипеде, а он вам его вернул с пробитым колесом и без насоса тоже самое с банками, вам предоставляют все меры что бы защитить свои средства на карте, для интернет расчетов уже давно существует возможность создавать виртуальные счета что бы положить туда ровно столько сколько нужно на покупку того что вам нужно, и если вы где-то по своей глупости нарушите меры безопасности и позволите злоумышленникам потратить ваши деньги - банк скорее всего вам ничего не вернет, точнее процедура существует, но придется пройти через все круги ада, доказать что средства потратили не вы и заплатить некоторую сумму средств в любом случае, так что при потере баксов ста даже нет смысла рыпаться... маловероятно, всегда есть недовольные и всегда можно найти повод что бы "посраться"
  7. Drin

    защита

    так что создать механизм, чтобы обезопасить тех кто будет юзать аккшаринг, не смотря на все предостережения/запреты, будет очень полезным. будет меньше инцидентов для ПСА, меньше недовольных, меньше кричащих, что на астериосе админы говно - никому не помогают, ничего не хотят возвращать и вообще сами всех раздевают, чтобы продавать их шмот
  8. Drin

    защита

    как говорилось - права будут настраиваться, достаточно запретить атаковать с контролом и все как показывает статистика - от аккшаринга даже не спасает пункт в правилах о запрете, при чем даже создает некоторые сложности, потому что человек зная про это правило падает на дурочка и не сознается что давал кому-либо свой логин/пароль, требуя расследовать инцидент как взлом, наказать виновника и вернуть утраченное
  9. Drin

    защита

    уже ведется активное обсуждение этой идеи в конференции разработчиков
  10. Drin

    защита

    в том то и дело что большая часть "раздеваний" приходится на аккшаринг, а тем кто не балуется аккшарингом привязки по IP и/или HWID вполне достаточно и бесплатно для это можно сделать другую систему, куда проще и тоже бесплатно - временные гостевые пароли для входа
  11. Drin

    защита

    я давно уже рассматриваю введение СМС-привязки, но пока не могу решить в каком виде реализовывать и что именно привязывать... смену пароля? - малоэффективно, разденут и без смены... требовать подтверждение на вход с каждого нового HWID? - для тех кто раздает доступ к своему чару всем подряд и с привязкой будет всех их HWID`ы авторизировать - его это не спасет, а ведь большая часть "взломов" именно по такому сценарию а самый надежный способ - подтверждать каждую передачу вещей мало того что быстро надоест, но еще и в копеечку обойдется.... да и если и делать то так что бы было и удобно, и по всему миру, и не в убыток себе (т.е. не бесплатно), и что бы по единой цене, но и что бы при этом не создавать для игроков ощущение что мы пытаемся за все сдирать с них кровные $$$, а ведь отправка одной СМСки эквивалентна как минимум одному сильверу и выше в зависимости от страны.... что бы не получилось как с разбаном за 10 голдов для тех кто был заблокирован за реалтрейд, услугу эту вводить мы не хотели и ввели лишь что бы пойти игрокам на встречу дав второй шанс - и это не осталось безнаказанным, в наш адрес полилась куча соплей от тех кому система отказывает в разбане и куча обвинений что это шантаж, мол мы специально даем людям возможность прокачаться, одеться и потом баним что бы вымогать деньги
  12. Drin

    защита

    у нас тоже была на сайте уязвимая версия OpenSSL несколько дней, после чего было произведено обновление... и конечно нашлись такие кто этим воспользовался, потому небольшая часть аккаунтов данные которых в тот период (несколько дней начиная с 08.04) вводились на сайте (регистрация/смена пароля...) были скомпрометированы, о чем я узнал так как каждые несколько дней мониторил интернет на предмет появления таких дампов. Как только такой дамп выложили я тут же скриптом нашел все скомпрометированные им аккаунты (около пары сотен) и превентивно их заблокировал до обращения в ПСА реального владельца и смены пароля, как показал анализ - их к тому моменту еще не успели посетить злоумышленники. Теоретически возможно что были еще скомпрометированные аккаунты, дамп с которыми просто не выкладывали, но ввиду отсутствия возросшего числа обращений в ПСА за последние полтора месяца можно считать что проблема исчерпана было-было
  13. http://www4.clustrmaps.com/ru/counter/maps.php?user=823102f4a https://metrika.yandex.ua/stat/geo/countries/?counter_id=15113146&per_page=15&filter=year&date1=20140515&date2=20140515&select_period=year&group=day&offset=1
  14. не всему стоит верить, у Dancom плавающая AS, сегодня определяется как РФ, неделю назад как Белиз (http://ru.myip.ms/info/whois/186.2.162.21/k/1760857613/website/asterios.tm / http://seoni.ru/tools/analysis/asterios.tm), а через неделю может определятся как США или Нидерланды, физически сервера их клиентов находится могут где угодно - весь трафик туннелируется. Что касается наших серверов, они и в правду почти все разбросаны по разным ДЦ Украины, в том числе и у Dancom парочка... а на территории РФ ни одного
  15. видимо админы серверов однодневок ввиду своей ограниченности используют для зачисления бонусов логины, а не ники персонажей... но каждый из них уверен что у них "довольно неплохая защита", только видимо сами плохо понимают что это значит и без размышления позволяют постороннему ресурсу собирать логины своих игроков мы же, как известно, просим вводить имя персонажа... P.S.: а на счет слива баз - не факт что правда, но вполне возможно, может например недовольный/хитропопый сотрудник решил подзаработать
  16. дык уже вся опасность (тем более для сервера) позади, вводить ЧП уже некому - Янык в этой стране уже "никто" и не слушайте Российские СМИ, которые жутко искажают информацию о том что происходит в Украине, никто тут у нас не совершает никаких набегов, на данный момент все довольно спокойно P.S: наши сервера рассредоточены по разным ДЦ, некоторые из них стоят в ядерном бункере
  17. я в свое время обдумывал такой вариант, но после глубокого обдумывания пришел к тому что больше против чем за... во-первых на момент бана на взломщике обычно уже ничего нет во-вторых, если вещи даже остались, у него могут быть не только ваши вещи, может он взломал 10 человек, а вы заявите первым и соберете себе весь урожай... в-третьих, если бы такая мера предусматривалась, мы бы получили бы новый вид мошенничества
  18. как только Unitpay нам сообщит что оплата прошла (как у них написано - в первый раз проводится через сутки) так сразу и получите голд
  19. при оформлении заказа через Unitpay вы можете связаться с их тех. поддержкой и они вам с радостью ответят на ваши вопросы
  20. Drin

    Предла

    после ревизии 27830 для лимитов чата будет учитываться ПА (ограничение будет увеличено в 2 раза)
  21. для чего? для улучшения пинга? мб. а может и нет, во время атак скорее нежели чем да endpoint вам никто (точнее я) не скажет, это тайна, если реальные адреса кто-то узнает их придется сразу же сменить, иначе по ним сразу же влупят DDoSом и положат все и на долго... да и толку вам от них никакого, маршрут "вы - промежуточный сервер - реальный сервер" не имеет ничего общего с "вы - реальный сервер", между промежуточными серверами и реальными обычно маршруты кратчайшие, при этом иногда могут быть даже в разных странах
  22. составлял гайды не я, и об их содержимом мне мало что известно, я лишь развенчиваю давно устаревшую информацию (как единственный компетентный и осведомленный по данному вопросу человек), взамен предоставив конкретный и единственный способ узнать какой адрес в данный момент времени использует тот или иной сервер. а домен никто не будет менять по n раз на день, тем более что в один момент времени может использоваться 2 и более адресов, как минимум для российских и украинских игроков часто совсем разные IP у сервера, которые опять же могут сменяться по принципу round-robin , я конечно мог бы прописать к домену сразу много IN A записей, но легче от этого никому не стало бы, а скорее только наоборот
  23. зачем? например в данный момент данный адрес не рабочий, почти для всех, и х55 через него не ходит, щас начнут его пинговать/трассировать и кричать "ААА!11 у вас потери на канале, ничего не работает, исправляйте!!" или еще отправят его провайдеру и будут просить что бы тот проверил почему пинг большой, а тот вообще пошлет и скажет "вы че, долбанулись? адрес то тот что вы дали вообще не рабочий, на всех магистралях он в blackhole... какой пинг?" и игрок опять побежит к нам кричать что у нас опять ничего не работает или что адрес ему неправильный дали и наврали короче
  24. можете попробовать конечно, посмотреть к какому IP вы в данный момент подключены очень просто, гуглите на тему TCPView, NirSoft CurrPorts или netstat если есть навыки но гарантий что завтра или даже через 3 часа вас будет отправлять на тот же адрес нет
×
×
  • Создать...