Pokaż wyniki od 1 do 11 z 11

Temat: MFO3 Security

  1. #1
    Użytkownik
    Dołączył
    31-03-2011
    Postów
    3,648

    MFO3 Security

    Wiadomość usunięta.
    Ostatnio edytowane przez Antybristler ; 27-11-2022 o 14:42

  2. #2
    Zbanowany
    Dołączył
    26-07-2016
    Postów
    345
    Cytat Napisał Antybristler Zobacz post
    Po ostatnim "incydencie" z rejestracjami mam kilka własnych propozycji dot. bezpieczeństwa w MFO3.

    Pewnie w większości wszystkie formularze w MFO3 są sprzed 10 lat, mam nadzieję, że jednak tak nie jest, bo niebyłoby dobrze. Przez tyle lat powstało wiele nowych zagrożeń i należy bezwzględniej podchodzić do bezpieczeństwa.

    1. Stosowania captcha, np. po określonej liczbie nieudanych logowań/rejestracji w ciągu godziny/dobry/IP.
    2. Zwiększenie długości hasła - obecnie 6! znaków, powinno być przynajmniej 10.
    3. Nie powinno być możliwości sprawdzenia, czy na konkretny adres email jest założone konto, obecnie można to sprawdzić w funkcji przypominania hasła. Po podaniu emaila powinien być komunikat w stylu "Jeśli istnieje konto powiązane z tym adresem, otrzymasz email"
    4. Umożliwienie włączenia weryfikacji dwuetapowej - przez email/aplikacje typu authenticator - dla chętnych.
    5. Generalnie warto zastosować wiele rozwiązań z FB/Google/banków, które się sprawdzają w formularzach.
    6. MFO3 nie jest już tym samym co było 10 lat temu, jest więcej elementów w grze, updateów, więc i więcej zagrożeń i ataków na graczy, kradzieży itp.
    7. Historia logowań (udane/nieudane) w panelu gracza, obecnie tego brak, każdy by mógł kontrolować co się dzieje z jego kontem.
    8. Każda nieudana próba logowania mogłaby być raportowana na PW/email - dla chętnych.
    9. Gracze z "TOP" np. TOP 20 każdego z rankingu mogliby być pod większym nadzorem bezpieczeństwa, więcej logów, więcej funkcji zabezpieczenia.
    10. Oczywiście nie należy popadać w paranoję, by nie utrudniać życia przy rejestracji/logowaniu, jednak warto rozważyć te wszystkie kwestie. MFO3 choć jest coraz wyżej w rankingu to jeszcze nie jest bankiem, ale przed najbliższym update fabularnym musi się poprawić przynajmniej kilka kwestii wyżej opisanych.

    Do admina: zachęcam wydrukować i dokonać analizy co można by zrobić, a co nie.
    Dodatkowo linki do mfo3.pl mfo2.pl i my-fantasy.net na FB są nadal z bez HTTPS.
    Nie ma opcji że to przejdzie tak szczerze.

  3. #3
    Redaktor Naczelny Avatar Hubiot
    Dołączył
    31-03-2011
    Postów
    2,605
    Cytat Napisał Antybristler Zobacz post
    Dodatkowo linki do mfo3.pl mfo2.pl i my-fantasy.net na FB są nadal z bez HTTPS.
    Poprawiłem.
    ***** ***

  4. #4
    Punkt 9 totalnie bez sensu, równie dobrze można wprowadzić ochronę jakości gry i dawać testy IQ czy nawet ortograficzne przy rejestracji żeby ochronić wpływ głupich pytań.

    Nie no serio, admini mają się o kogoś bardziej troszczyć bo lepiej grają ale nie potrafią zabezpieczyć konta i tego co z nim robią w sieci?
    Już wolałbym ochronę kont które ładują najwięcej MF do gry, to przynajmniej się twórcom zwróci
    Le tits now

  5. #5
    Użytkownik
    Dołączył
    28-04-2016
    Postów
    260
    Proponuję zamknąć temat.

    Trochę śmieszkując, ale zaraz poleci propozycja od MapY żeby się podawało PESEL który będzie sprawdzany czy jest poprawny, jeszcze dodajmy do tego weryfikacje dwuetapową ale nie rozdrabniajmy się niech będzie ona przez SMS i jak w banku będzie trzeba podać kod żeby się zalogować do gry przeglądarkowej, bo przecież włamania na konta mfo3 są codziennością....

  6. #6
    Użytkownik Avatar king of fire
    Dołączył
    02-01-2019
    Postów
    82
    Cytat Napisał Antybristler Zobacz post
    Po ostatnim "incydencie" z rejestracjami mam kilka własnych propozycji dot. bezpieczeństwa w MFO3.

    Pewnie w większości wszystkie formularze w MFO3 są sprzed 10 lat, mam nadzieję, że jednak tak nie jest, bo niebyłoby dobrze. Przez tyle lat powstało wiele nowych zagrożeń i należy bezwzględniej podchodzić do bezpieczeństwa.

    1. Stosowania captcha, np. po określonej liczbie nieudanych logowań/rejestracji w ciągu godziny/dobry/IP.
    2. Zwiększenie długości hasła - obecnie 6! znaków, powinno być przynajmniej 10.
    3. Nie powinno być możliwości sprawdzenia, czy na konkretny adres email jest założone konto, obecnie można to sprawdzić w funkcji przypominania hasła. Po podaniu emaila powinien być komunikat w stylu "Jeśli istnieje konto powiązane z tym adresem, otrzymasz email"
    4. Umożliwienie włączenia weryfikacji dwuetapowej - przez email/aplikacje typu authenticator - dla chętnych.
    5. Generalnie warto zastosować wiele rozwiązań z FB/Google/banków, które się sprawdzają w formularzach.
    6. MFO3 nie jest już tym samym co było 10 lat temu, jest więcej elementów w grze, updateów, więc i więcej zagrożeń i ataków na graczy, kradzieży itp.
    7. Historia logowań (udane/nieudane) w panelu gracza, obecnie tego brak, każdy by mógł kontrolować co się dzieje z jego kontem.
    8. Każda nieudana próba logowania mogłaby być raportowana na PW/email - dla chętnych.
    9. Gracze z "TOP" np. TOP 20 każdego z rankingu mogliby być pod większym nadzorem bezpieczeństwa, więcej logów, więcej funkcji zabezpieczenia.
    10. Oczywiście nie należy popadać w paranoję, by nie utrudniać życia przy rejestracji/logowaniu, jednak warto rozważyć te wszystkie kwestie. MFO3 choć jest coraz wyżej w rankingu to jeszcze nie jest bankiem, ale przed najbliższym update fabularnym musi się poprawić przynajmniej kilka kwestii wyżej opisanych.

    Do admina: zachęcam wydrukować i dokonać analizy co można by zrobić, a co nie.
    Dodatkowo linki do mfo3.pl mfo2.pl i my-fantasy.net na FB są nadal z bez HTTPS.

    jest zapewne wiele graczy z haslem mniejszym niz 10 znakow. niektorzy moga hasel 10 znakowych nie zapamietac ani ich nie zapisac a nie kazdy potwierdza mail.
    pozatym nikt nie wlamie ci sie na konto jesli nie podajesz danych logowania. ale dodam to by bylo uciazliwe bo jedynie z czym moge sie zgodzic to numery 4,6,7,8,10. ale i tak watpie ze to przejdzie, bo duzo administracja bedzie musiala zmieniac.

  7. #7
    Zbanowany
    Dołączył
    12-05-2020
    Postów
    410
    3. Nie ma sensu nikt nie potrzebuje, aż tyle znaków. To działa na zasadzie jeśli ktoś nie umie włamać się na konto to nawet mając chociażby 0 znaków uchroni się, jeśli ktoś byłby zdolny to kradzieży to jeśli 4 to oznacza MAŁO, no to wiadomo, że nawet z 10 różnicy nie będzie gdyż jeśli 6 znaków to za mało to być może problem nie jest z tym, że hasło jest prostsze, ale w tym, że nie zależnie od hasła ktoś po prostu całość odtwarza.

    Tak szczerze w mfo3 jest naprawdę bezpiecznie. Wiecie jaka jest prawdopodobieństwo kradzieży w pewnej grze gdzie praktycznie znajdują się 100 osób i po co? (Nie mam na myśli o to, że mfo3 jest słaba i nie warta niczego, bo gra jest super)

  8. #8
    Swoją drogą, jest jakiś limit nieudanych (błędnych) logowań na konto?
    Le tits now

  9. #9
    Redaktor Naczelny Avatar Hubiot
    Dołączył
    31-03-2011
    Postów
    2,605
    Cytat Napisał Antybristler Zobacz post
    Nawet takie prehistoryczne mfo2 posiada captcha: https://mfo2.pl/start2/register.php a w mfo3 admin się boi dodać w mfo3. W dodtaku w MFO3 zrezygnowano z obowiązkowego email na korzyść większej liczby rejestracji, kosztem bezpieczeństwa graczy....

    Może też czas wywalić pole "powtórz hasło" przy rejestracji, coraz więcej serwisów się na to decyduje, czym takie coś się skończy, dowiemy się w przyszłości.
    A to co się znajduje w prawym dolnym rogu strony głównej mfo3.pl?
    ***** ***

  10. #10
    Użytkownik
    Dołączył
    31-03-2011
    Postów
    3,648
    To co się znajduje widocznie nie działa prawidłowo albo jest źle skonfigurowane, skoro doszło do niedawnej sytuacji z rejestracjami.
    Niezależnie od tego, czekam na realizację przynajmniej części propozycji.

  11. #11
    Użytkownik Avatar Lucy Gray
    Dołączył
    05-03-2016
    Postów
    576
    Cytat Napisał Antybristler Zobacz post
    To co się znajduje widocznie nie działa prawidłowo albo jest źle skonfigurowane, skoro doszło do niedawnej sytuacji z rejestracjami.
    Niezależnie od tego, czekam na realizację przynajmniej części propozycji.
    Zostało to dodane po niedawnej sytuacji.
    https://discord.gg/TEPXex4Upd <---- NAJLEPSZY SERWER DISCORD

Uprawnienia

  • Nie możesz zakładać nowych tematów
  • Nie możesz pisać wiadomości
  • Nie możesz dodawać załączników
  • Nie możesz edytować swoich postów
  •