Обсуждение правил, логики Игры, формул и т.д.

[evg]

Diablo, ты меня отлично понял

[Zest]

Есть еще предложение, которое хочу предложить к обсуждению.

Сейчас у нас есть аккаунт, имя замка и название, замка - три параметра. При наведении мыши на замок в тултипе отображается "Замок "%название, замка%", владелец "%имя замка%"".
Может быть стоит пересмотреть систему отображения замка?

Например "Замок "%название, замка%", владелец "%аккаунт%"".
Таким образом замки будет легко идентефицировать именно по аккаунту.

Что скажете? Плюсы, минусы, подводные камни?

[Diablo]

Что скажете? Плюсы, минусы, подводные камни?

Отсутствие интриг, скандалов, расследований)))
Ну примерно так) Опять же сведем на нет шпионаж, предательство и т.д...

[Diablo]

Единственный вариант, мне кажется, сделать опциональным отображение в название замка

[evg]

+100 к предыдущему комментатору Убьем часть Деки, может и не самую большую, но ценную.

Но дело не только в духе Деки. Категорически против огласки логинов аккаунта, емайлов и т.д. по причинам безопасности.

Предупреждаю всех, при запуске регистрируйте аккаунты не на всем уже известные логины и емайлы, а на известные только Вам. Регнуть мыло и настроить пересылку с него - дело нескольких минут и нет ущерба от того, что Ваш логин не будет совпадать с ником, под которым Вы известны среди игроков.

Так же крайне важно, что бы логин/пароль/емайл от аккаунта в игре не совпадал с таковыми от учетки на форуме. Я при всем своем желании не могу гарантировать безопасность форума, это чужой софт и неизвестно сколько у него имеется дыр. Форум с игрой были специально запущены на разных серверах, что бы через взлом форума злоумышленники не смогли получить доступа к данным игры, но если кто-то на форуме будете иметь те же данные учетки, что и в игре, то увы ему, претензии за терракт при нормальной авторизации в игре не будут приниматься.

[qq]

нужно пересмотреть формулу роста населения, слишком медленно оно прибавляеться после 150-200 и слишком быстро когда в замке 1-2 наса.

[qq]

по поводу терактов с использованием взлома аккаунта.. будут ли предприниматься какие либо меры против таких игроков? блок ихних личных аккаунтов и.т.д.. ?

[evg]

Что будем считать взломом из возможных вариантов?

• Вошли в аккаунт используя валидную пару логин/пароль раскрытые самим игроком.


• Вошли в аккаунт используя валидную пару логин/пароль полученные через взломанную почту игрока.


• Вошли в аккаунт зная логин и подобрав пароль перебором.


• Вошли в аккаунт используя данные полученные из базы данных игры.


• Вошли в аккаунт используя дырки в безопасности игры.

Моя точка зрения такова.
1, 2 - Не взлом аккаунта однозначно. Игра идентифицирует игрока только по паре логин/пароль, ни ФИО, ни паспортные данные пользователя игре не известны и по ним различий не делается. Если логин/пароль утекли не из сервера игры, то это не рассматривается как взлом, так как не доказуемо.
3 - технически считается взломом, но откуда злоумышленники узнали логин игрока? Логин в игре не раскрывается, как и пароль. Если игрок берет себе логин совпадающий со его ником известным остальным игрокам, ставит на учетку пароль "123" и рассчитывает, что игра обязана охранять его игровые ресурсы, то мне такое отношение понять сложно. На всякий случай уточню, система защиты против подбора пароля есть, но отключена на тестовом сервере для экономии ресурсов хостинга. Работает как и любая подобная защита - при нескольких неверных попыток входа в игру подряд для данного IP-адреса блокируется доступ к игре на некоторое время, заметка о неудачной попытке входа записывается в сообщения аккаунта, владельцу аккаунта на емайл отправляется письмо с кодом для немедленной разблокировки IP-адреса на случай, если это он по какой-то причине случайно вводил неверный пароль и заблокировал доступ в игру для своего IP-адреса. Все эти действия сохраняются в логах, которые регулярно отсылаются администрации.
4,5 - эти действия однозначно являются взломом, в том числе, попадают под статью УК РФ, в чьей юрисдикции находятся наши серверы. Кроме УК РФ напомню о существовании всяческих Интерполов и прямых межправительственных соглашениях. Если же говорить о технической стороне вопроса, то пункт 4 крайне маловероятен и не даст злоумышленнику нужной для доступа информации. Логин и емайл в базе данных хранятся в зашифрованном виде (опять таки, на тестовом сервере пока отключено для экономии), а пароль вообще не хранится в базе, хранится только его соленый хеш по стойкому к подбору алгоритму (не md5). И база данных используется весьма безопасная к взлому, никакие атаки вроде "SQL Injection" ей не страшны. Случай 5 так же маловероятен, если злоумышленник смог получить доступ к серверу, то последнее, что имеет ему смысл - это взлом аккаунта, ведь у него полная свобода для действий над игровыми данными, зачем так откровенно палиться?

К слову, игровые данные резервируются на другой сервер, сейчас бэкап происходит раз в сутки (опять из за экономии), на боевом режиме резервирование будет происходить каждый час на момент перехода хода, сразу после просчета начислений и переходов.

[qq]

Что будем считать взломом из возможных вариантов?

• Вошли в аккаунт используя валидную пару логин/пароль полученные через взломанную почту игрока.


• Вошли в аккаунт зная логин и подобрав пароль перебором.


• Вошли в аккаунт используя данные полученные из базы данных игры.


• Вошли в аккаунт используя дырки в безопасности игры.

считаю что все эти варианты подходят кроме того где игрок сам передает пароль.

[qq]

хотя если вдуматься то почти все взломы в деке происходили из-за неосторожности самих игроков, когда пароли шли по кругу.. 

[Zest]

Раз уж заговорили о взломах сервера, как специалист по безопасности задам вопрос, насколько надежный php фреймворк используется (не стану скрывать даже не пытался взламывать, потому что не люблю дома работать =)), стоят ли обновления, будут ли обновляться они по мере выхода новых. Как ни крути пхп очень уязвим для взломов, не хотелось бы чтобы на примере деки потом писали готовые эксплоиты.
Информация исключительно ради интереса запрашивается. Если все же есть желание могу попробовать поломать, но это, если Женя не уверен в стойкости  приложения.

[evg]

насколько надежный php фреймворк используется

Безопасность форума под большим вопросом, посколько для него используется готовый движок SMF, но поэтому форум и вынесен на отдельный сервер. Поэтому лучше не использовать на форуме и в игре одни и те же логин/пароль/емайл. Ведь в игре нигде не раскрываются эти данные и злоумышленники могут их узнать только из данных форума или же от самого игрока.

Код игры написан мной с ноля. Для движка Деки общедоступные фреймворки не подойдут, ни у одного из них нет нужного сочетания возможностей, при том, что использование фреймворка принесет дополнительные накладные расходы оперативной памяти и процессорного времени, а главное - бОльшее время обработки запроса, что для этой игры критично. Можно было использовать фреймворки для фронтэнда, но это все равно что забивать гвозди микроскопом, фронтенд у игры получается простой и фреймворк не особо сократит время разработки, так что и эта часть кода была написана самостоятельно. Если хочешь, могу добавить отдельным постом технические подробности реализации.

стоят ли обновления, будут ли обновляться они по мере выхода новых.

Для текущей версии ПО все обновления устанавливаются практически сразу после выхода, лишь ядро Linux использует специфическое патчи для облачного хостинга и несколько отстает в развитии. Естесственно, что версии ПО на сервере будут обновляться регулярно.

Как ни крути пхп очень уязвим для взломов, не хотелось бы чтобы на примере деки потом писали готовые эксплоиты.

Не-не-не. РНР для взломов уязвим ровно в той же степени, что и остальные server-side скриптовые языки, а то и менее, если вспомнить недавние дырки в Ruby. Другое дело, что написать скрипт на РНР может практически любой, очень низкий порог входа в язык, поэтому очень много криворукой школоты лабающей дырявый код и которая спокойно допускает выполнение загружаемых на сервер файлов, не понимает для чего нужны права доступа на файлы и т.д. Если код пишет профессионал, кто владеет не только PHP, но и понимает принципы работы web-серверов, применяемой ОС, сетевых технологий, то и проблем с безопасностью не возникает.

Информация исключительно ради интереса запрашивается. Если все же есть желание могу попробовать поломать, но это, если Женя не уверен в стойкости  приложения.

Никогда ни в чем не уверен, особенно в плане безопасности. Не являясь профессионалом в программировании отдаю себе отчет, что знаю мало и могу что-то упустить, а то и сделать ошибку из-за невнимательности или банального недосыпа. Так что я буду только рад, если игроки будут искать и такие ошибки в игре. Тестирование для этого и проводится.

[evg]

Что будем считать взломом из возможных вариантов?

• Вошли в аккаунт используя валидную пару логин/пароль полученные через взломанную почту игрока.


• Вошли в аккаунт зная логин и подобрав пароль перебором.


• Вошли в аккаунт используя данные полученные из базы данных игры.


• Вошли в аккаунт используя дырки в безопасности игры.

считаю что все эти варианты подходят кроме того где игрок сам передает пароль.

Эмммм... В моем исходном сообщении был иной список вариантов Но как по мне, так взлом почты не означает взлом аккаунта игры. В аккаунт зашли под валидной парой логин/пароль, через штатный механизм авторизации. Администрация игры в этом случае никак не сможет определить кто именно вошел и дембельнул топовых ангелов, сам игрок по пьяни или нервного срыва, либо это взломщик постарался. Доказательством может быть разве что выписка из уголовного дела об имевшем место взломе емайла и признании игрока потерпевшим. Игра дает возможность сохранить в тайне все данные учетки. Ни логин, ни пароль, ни емайл игрока нигде не светятся и в открытом виде не будут храниться.

[stasserro]

Если контролировать мультиводство, то я честно говоря вообще не вижу смысла делать какие-либо ограничения для обмена. Хотя, если нет уверенности в способности системы контролировать создание мультов, для профилактики мультиводства конечно можно разрешить один обмен раз, например, в трое суток для одного аккаунта. Но нужно понимать, что это не коренная борьба с данным злом.

Однозначно тоже считаю, что обменная функция (замками) должна быть реализована как можно проще (без всяких подтверждений по имэилу) и через меню списка замков (меню аккаунта). Например, можно как-нибудь, чтобы из меню аккаунта можно было по названию замка послать запрос на аккаунт хозяина данного замка на обмен, при этом аккаунт хозяина не должен быть нигде виден (как в принципе уже кто-то писал выше).

Единственно, мне все-таки не понятно, сколько замков будет разрешаться иметь на одном аккаунте? Так как это тоже немаловажная тема в связи с темой обменов. Если, например, будет разрешаться иметь только 10 замков, то за частые обмены мне кажется не стоит волноваться. А если вот уже можно будет иметь 20-30 замков на одном аккаунте, то тогда конечно нужно, чтобы возможность менять была реже (допустим раз в 3-5 дней).

Также как идея: может быть при обмене стоит автоматически уменьшать население замка до, скажем, 5 наса, чтобы не давать быстрого развития игроку при итак выгодном обмене.

[Diablo]

Также как идея: может быть при обмене стоит автоматически уменьшать население замка до, скажем, 5 наса, чтобы не давать быстрого развития игроку при итак выгодном обмене.

Теряем возможность раша\теракта... Ведб парой обмены и для этого совершаются... например выменять замок вблизи коробки, ливануть в него денег быстренько и пробить короб