Если доступа к файлам вне сервера нет, то это не обязательно. А обычно на unix-машинах сервер не лежит в public_html
| www.mudconnector.su https://forum.mudconnector.su/ |
|
| Шифрование пароля https://forum.mudconnector.su/viewtopic.php?f=14&t=229 |
Страница 1 из 5 |
| Автор: | Бодрич [ Чт окт 07, 2010 10:10 am ] |
| Заголовок сообщения: | Шифрование пароля |
Вопрос админов мудов, у кого в маде включено шифрование паролей в файлах игрока? И нужно ли это? |
|
| Автор: | Харч [ Чт окт 07, 2010 10:24 am ] |
| Заголовок сообщения: | Re: Шифрование пароля |
Если доступа к файлам вне сервера нет, то это не обязательно. А обычно на unix-машинах сервер не лежит в public_html
|
|
| Автор: | prool [ Чт окт 07, 2010 10:30 am ] |
| Заголовок сообщения: | Re: Шифрование пароля |
Шифрование пароля в любом проекте, считающем себя серьезным, обязательно. Игроки должны быть уверены, что даже админ (или админы) мада не увидят их пароли. Так будет спокойнее и игрокам и админам. |
|
| Автор: | KadVar [ Чт окт 07, 2010 11:21 am ] |
| Заголовок сообщения: | Re: Шифрование пароля |
prool писал(а): Шифрование пароля в любом проекте, считающем себя серьезным, обязательно. Игроки должны быть уверены, что даже админ (или админы) мада не увидят их пароли. Так будет спокойнее и игрокам и админам. И эээ... можно рассказать мне КАК это реализуется в "серьезных проектах" ? Я что-то даже теряюсь. Как-то можно "зашифровать" пароль так, что потом сам-же расшифровать не сможешь ? И главное "зачем" ? Я ведь будь моя воля могуи функцию авторизации переписать, вообще, напрочь .PS. Про хеши, открытые и закрытые ключи не надо. Давайте лучше так: вы кусок кода, который не позволит мне при наличии доступа к серверу и коду узнать пароль, я решение проблемы "как узнать". PPS. Особого смысла нет. Хотя, превентивно можно всё шифровать. Просто на всякий случай. |
|
| Автор: | prool [ Чт окт 07, 2010 12:14 pm ] |
| Заголовок сообщения: | Re: Шифрование пароля |
Эээ, дорогой коллега Кадвар, что-то я не понял Вашего всплеска эмоций. Я не требую от мадов соответствия серьезным сертификатам безопасности, например принятым в Армии США. Но вот пример хорошо реализованной системы: старый добрый UNIX. Там хранятся не пароли, а хеши паролей, что защищает не только пользователей от хакеров, но и пользователей от админа. Понятно, что например в процедуру входа в мад можно встроить кусок кода, копирующий пароли в какой-нибудь тайный шпионский лог. Но от разработчика защититься очень трудно, практически невозможно. А от админа (админов) можно. А в любом большом проекте проявляется уже не один администратор, а целая команда и всем одинаково доверять нельзя. И не всегда можно технически разграничить доступ так, чтобы каждый администратор мог видеть только то, что ему положено видеть по должностным обязанностям Кстати, большинство обычных, не параноидальных игроков используют один и тот же простой пароль на все свои учетные записи в мадах, других играх, форумах, е-мейлах. Это неправильно, но так есть, не все люди эксперты по безопасности. И для частичной компенсации такого легкомысленного поведения надо хранить пароли только в зашифрованном виде |
|
| Автор: | Харч [ Чт окт 07, 2010 12:14 pm ] |
| Заголовок сообщения: | Re: Шифрование пароля |
KadVar, именно поэтому в маде у меня не шифруются пароли, смысла нет. Но зашифровать можно (как раз именно через хеши, например md5). |
|
| Автор: | Харч [ Чт окт 07, 2010 12:16 pm ] |
| Заголовок сообщения: | Re: Шифрование пароля |
prool, я думаю, что у обычных админов не будет доступа к unix-серверу. А так как доступ будет только для разработчика (одного), то и смысл от себя же пароли прятать?
|
|
| Автор: | prool [ Чт окт 07, 2010 12:22 pm ] |
| Заголовок сообщения: | Re: Шифрование пароля |
Дорогой коллега Харч, очень много мадов действительно настолько малочисленные и хоббические проекты, что один человек в маде всё - и разработчик кода и разработчик зон и администратор. Но постепенно мад разрастается и приходится брать в команду людей, зачастую малознакомых и давать им доступ к управлению мадом. Вот именно поэтому пароли категорически нельзя хранить в открытом виде. И большинство мадов работают на базе ОС класса UNIX (обычно или FreeBSD или Linux) и соответственно администраторы имеют туда доступ, что естественно, а как же им еще выполнять свои функции? |
|
| Автор: | Харч [ Чт окт 07, 2010 12:32 pm ] |
| Заголовок сообщения: | Re: Шифрование пароля |
Дорогой коллега prool, согласен. Но дело в том, что если я сам администратор unix-сервера и никто более доступа к нему не имеет. А из самой игры даже я не имею доступа к базе данных (пока не имею, а описывать не хочу. или советуете?). И суть будет одна: пароли будут храниться зашифрованными, а если человек его забывает, то восстановить не возможно. Только сменить. И кстати, если очень уж захочется, то просто можно делать перехват команд телнета, там все передается незашифрованным. И тогда все узнать без доступа к базе данных. |
|
| Автор: | prool [ Чт окт 07, 2010 12:39 pm ] |
| Заголовок сообщения: | Re: Шифрование пароля |
Именно потому, что протокол telnet легко перехыватывается (и еще потому что у реализации есть пара серьезных дыр в безопасности) сисадмины повсеместно для работы используют ssh (с) капитан Очевидность Я даже задумал делать свой мад (давно задумал, а когда начну, не знаю, и главное когда закончу, и закончу ли, чорт его знает) и доступ к этому маду планируется только по ssh А в качестве паллиатива я придумал концепцию "защищенного мада": мад-сервер на UNIX, сервер не принимает внешние коннекты по протоколу telnet, на сервере есть учетная запись mud с паролем mud (доступная по ssh), а в качестве командного интерпретатора для пользователя mud указан мад-клиент, например mmc, который коннектится на localhost. То есть всё незащищенное будет внутри сервера ходить. mmc еще можно слегка попатчить на предмет безопасности, поотрывав у него потенциально опасные возможности |
|
| Страница 1 из 5 | Часовой пояс: UTC + 3 часа [ Летнее время ] |
| Powered by phpBB® Forum Software © phpBB Group http://www.phpbb.com/ |
|