www.mudconnector.su

Вопрос админов мудов, у кого в маде включено шифрование паролей в файлах игрока? И нужно ли это?

Если доступа к файлам вне сервера нет, то это не обязательно. А обычно на unix-машинах сервер не лежит в public_html

_________________
Кодер и билдер MUD Shaal (Мада Мир Шааль).

Шифрование пароля в любом проекте, считающем себя серьезным, обязательно. Игроки должны быть уверены, что даже админ (или админы) мада не увидят их пароли. Так будет спокойнее и игрокам и админам.

_________________
Пруль, кодер и билдер VMUD
http://mud.kharkov.org
http://virtustan.net
telnet 195.123.245.173 3000

И эээ... можно рассказать мне КАК это реализуется в "серьезных проектах" ?
Я что-то даже теряюсь. Как-то можно "зашифровать" пароль так, что потом сам-же
расшифровать не сможешь ? И главное "зачем" ? Я ведь будь моя воля могу
и функцию авторизации переписать, вообще, напрочь .

PS. Про хеши, открытые и закрытые ключи не надо. Давайте лучше так:
вы кусок кода, который не позволит мне при наличии доступа к серверу
и коду узнать пароль, я решение проблемы "как узнать".

PPS. Особого смысла нет. Хотя, превентивно можно всё шифровать. Просто на
всякий случай.

Эээ, дорогой коллега Кадвар, что-то я не понял Вашего всплеска эмоций.

Я не требую от мадов соответствия серьезным сертификатам безопасности, например принятым в Армии США.

Но вот пример хорошо реализованной системы: старый добрый UNIX. Там хранятся не пароли, а хеши паролей, что защищает не только пользователей от хакеров, но и пользователей от админа.

Понятно, что например в процедуру входа в мад можно встроить кусок кода, копирующий пароли в какой-нибудь тайный шпионский лог. Но от разработчика защититься очень трудно, практически невозможно. А от админа (админов) можно. А в любом большом проекте проявляется уже не один администратор, а целая команда и всем одинаково доверять нельзя. И не всегда можно технически разграничить доступ так, чтобы каждый администратор мог видеть только то, что ему положено видеть по должностным обязанностям

Кстати, большинство обычных, не параноидальных игроков используют один и тот же простой пароль на все свои учетные записи в мадах, других играх, форумах, е-мейлах. Это неправильно, но так есть, не все люди эксперты по безопасности. И для частичной компенсации такого легкомысленного поведения надо хранить пароли только в зашифрованном виде

_________________
Пруль, кодер и билдер VMUD
http://mud.kharkov.org
http://virtustan.net
telnet 195.123.245.173 3000

KadVar, именно поэтому в маде у меня не шифруются пароли, смысла нет.

Но зашифровать можно (как раз именно через хеши, например md5).

_________________
Кодер и билдер MUD Shaal (Мада Мир Шааль).

prool, я думаю, что у обычных админов не будет доступа к unix-серверу. А так как доступ будет только для разработчика (одного), то и смысл от себя же пароли прятать?

_________________
Кодер и билдер MUD Shaal (Мада Мир Шааль).

Дорогой коллега Харч, очень много мадов действительно настолько малочисленные и хоббические проекты, что один человек в маде всё - и разработчик кода и разработчик зон и администратор. Но постепенно мад разрастается и приходится брать в команду людей, зачастую малознакомых и давать им доступ к управлению мадом. Вот именно поэтому пароли категорически нельзя хранить в открытом виде.

И большинство мадов работают на базе ОС класса UNIX (обычно или FreeBSD или Linux) и соответственно администраторы имеют туда доступ, что естественно, а как же им еще выполнять свои функции?

_________________
Пруль, кодер и билдер VMUD
http://mud.kharkov.org
http://virtustan.net
telnet 195.123.245.173 3000

Дорогой коллега prool, согласен. Но дело в том, что если я сам администратор unix-сервера и никто более доступа к нему не имеет. А из самой игры даже я не имею доступа к базе данных (пока не имею, а описывать не хочу. или советуете?). И суть будет одна: пароли будут храниться зашифрованными, а если человек его забывает, то восстановить не возможно. Только сменить. И кстати, если очень уж захочется, то просто можно делать перехват команд телнета, там все передается незашифрованным. И тогда все узнать без доступа к базе данных.

_________________
Кодер и билдер MUD Shaal (Мада Мир Шааль).

Именно потому, что протокол telnet легко перехыватывается (и еще потому что у реализации есть пара серьезных дыр в безопасности) сисадмины повсеместно для работы используют ssh (с) капитан Очевидность

Я даже задумал делать свой мад (давно задумал, а когда начну, не знаю, и главное когда закончу, и закончу ли, чорт его знает) и доступ к этому маду планируется только по ssh

А в качестве паллиатива я придумал концепцию "защищенного мада":

мад-сервер на UNIX,

сервер не принимает внешние коннекты по протоколу telnet,

на сервере есть учетная запись mud с паролем mud (доступная по ssh), а в качестве командного интерпретатора для пользователя mud указан мад-клиент, например mmc, который коннектится на localhost. То есть всё незащищенное будет внутри сервера ходить. mmc еще можно слегка попатчить на предмет безопасности, поотрывав у него потенциально опасные возможности

_________________
Пруль, кодер и билдер VMUD
http://mud.kharkov.org
http://virtustan.net
telnet 195.123.245.173 3000