Pokaż wyniki od 1 do 14 z 14

Temat: MFO3 Security

  1. #1
    Użytkownik Avatar Antybristler
    Dołączył
    31-03-2011
    Postów
    3,775

    MFO3 Security

    Po ostatnim "incydencie" z rejestracjami mam kilka własnych propozycji dot. bezpieczeństwa w MFO3.

    Pewnie w większości wszystkie formularze w MFO3 są sprzed 10 lat, mam nadzieję, że jednak tak nie jest, bo niebyłoby dobrze. Przez tyle lat powstało wiele nowych zagrożeń i należy bezwzględniej podchodzić do bezpieczeństwa.

    1. Stosowania captcha, np. po określonej liczbie nieudanych logowań/rejestracji w ciągu godziny/doby/IP.
    2. Zwiększenie długości hasła - obecnie 6! znaków, powinno być przynajmniej 10.
    3. Nie powinno być możliwości sprawdzenia, czy na konkretny adres email jest założone konto, obecnie można to sprawdzić w funkcji przypominania hasła. Po podaniu emaila powinien być komunikat w stylu "Jeśli istnieje konto powiązane z tym adresem, otrzymasz email"
    4. Umożliwienie włączenia weryfikacji dwuetapowej - przez email/aplikacje typu authenticator - dla chętnych.
    5. Generalnie warto zastosować wiele rozwiązań z FB/Google/banków, które się sprawdzają w formularzach.
    6. MFO3 nie jest już tym samym co było 10 lat temu, jest więcej elementów w grze, updateów, więc i więcej zagrożeń i ataków na graczy, kradzieży itp.
    7. Historia logowań (udane/nieudane) w panelu gracza, obecnie tego brak, każdy by mógł kontrolować co się dzieje z jego kontem.
    8. Każda nieudana próba logowania mogłaby być raportowana na PW/email - dla chętnych.
    9. Gracze z "TOP" np. TOP 20 każdego z rankingu mogliby być pod większym nadzorem bezpieczeństwa, więcej logów, więcej funkcji zabezpieczenia.
    10. Oczywiście nie należy popadać w paranoję, by nie utrudniać życia przy rejestracji/logowaniu, jednak warto rozważyć te wszystkie kwestie. MFO3 choć jest coraz wyżej w rankingu to jeszcze nie jest bankiem, ale przed najbliższym update fabularnym musi się poprawić przynajmniej kilka kwestii wyżej opisanych.

    Do admina: zachęcam wydrukować i dokonać analizy co można by zrobić, a co nie.
    Dodatkowo linki do mfo3.pl mfo2.pl i my-fantasy.net na FB są nadal z bez HTTPS.
    Ostatnio edytowane przez Antybristler ; 26-11-2021 o 17:13

  2. #2
    Użytkownik
    Dołączył
    26-07-2016
    Postów
    179
    Cytat Napisał Antybristler Zobacz post
    Po ostatnim "incydencie" z rejestracjami mam kilka własnych propozycji dot. bezpieczeństwa w MFO3.

    Pewnie w większości wszystkie formularze w MFO3 są sprzed 10 lat, mam nadzieję, że jednak tak nie jest, bo niebyłoby dobrze. Przez tyle lat powstało wiele nowych zagrożeń i należy bezwzględniej podchodzić do bezpieczeństwa.

    1. Stosowania captcha, np. po określonej liczbie nieudanych logowań/rejestracji w ciągu godziny/dobry/IP.
    2. Zwiększenie długości hasła - obecnie 6! znaków, powinno być przynajmniej 10.
    3. Nie powinno być możliwości sprawdzenia, czy na konkretny adres email jest założone konto, obecnie można to sprawdzić w funkcji przypominania hasła. Po podaniu emaila powinien być komunikat w stylu "Jeśli istnieje konto powiązane z tym adresem, otrzymasz email"
    4. Umożliwienie włączenia weryfikacji dwuetapowej - przez email/aplikacje typu authenticator - dla chętnych.
    5. Generalnie warto zastosować wiele rozwiązań z FB/Google/banków, które się sprawdzają w formularzach.
    6. MFO3 nie jest już tym samym co było 10 lat temu, jest więcej elementów w grze, updateów, więc i więcej zagrożeń i ataków na graczy, kradzieży itp.
    7. Historia logowań (udane/nieudane) w panelu gracza, obecnie tego brak, każdy by mógł kontrolować co się dzieje z jego kontem.
    8. Każda nieudana próba logowania mogłaby być raportowana na PW/email - dla chętnych.
    9. Gracze z "TOP" np. TOP 20 każdego z rankingu mogliby być pod większym nadzorem bezpieczeństwa, więcej logów, więcej funkcji zabezpieczenia.
    10. Oczywiście nie należy popadać w paranoję, by nie utrudniać życia przy rejestracji/logowaniu, jednak warto rozważyć te wszystkie kwestie. MFO3 choć jest coraz wyżej w rankingu to jeszcze nie jest bankiem, ale przed najbliższym update fabularnym musi się poprawić przynajmniej kilka kwestii wyżej opisanych.

    Do admina: zachęcam wydrukować i dokonać analizy co można by zrobić, a co nie.
    Dodatkowo linki do mfo3.pl mfo2.pl i my-fantasy.net na FB są nadal z bez HTTPS.
    Nie ma opcji że to przejdzie tak szczerze.
    #repairtanatos

  3. #3
    Redaktor Naczelny Avatar Hubiot
    Dołączył
    31-03-2011
    Postów
    2,220
    Cytat Napisał Antybristler Zobacz post
    Dodatkowo linki do mfo3.pl mfo2.pl i my-fantasy.net na FB są nadal z bez HTTPS.
    Poprawiłem.
    ***** ***

  4. #4
    Punkt 9 totalnie bez sensu, równie dobrze można wprowadzić ochronę jakości gry i dawać testy IQ czy nawet ortograficzne przy rejestracji żeby ochronić wpływ głupich pytań.

    Nie no serio, admini mają się o kogoś bardziej troszczyć bo lepiej grają ale nie potrafią zabezpieczyć konta i tego co z nim robią w sieci?
    Już wolałbym ochronę kont które ładują najwięcej MF do gry, to przynajmniej się twórcom zwróci
    Le tits now

  5. #5
    Użytkownik Avatar Antybristler
    Dołączył
    31-03-2011
    Postów
    3,775
    Cytat Napisał Tensa Zangetsu Zobacz post
    Punkt 9 totalnie bez sensu, równie dobrze można wprowadzić ochronę jakości gry i dawać testy IQ czy nawet ortograficzne przy rejestracji żeby ochronić wpływ głupich pytań.

    Nie no serio, admini mają się o kogoś bardziej troszczyć bo lepiej grają ale nie potrafią zabezpieczyć konta i tego co z nim robią w sieci?
    Już wolałbym ochronę kont które ładują najwięcej MF do gry, to przynajmniej się twórcom zwróci
    No każdy może zgłosić swoje propozycje dot. ogólnego bezpieczeństwa w MFO3. Nikt nie chce aby za kilka miesięcy powstał atak, który zmiecie z powierzchni Ziemii MFO3, a luk jest coraz więcej.
    Dodam jeszcze jedną propozycję, którą kiedyś już proponowałem tzn. dodać zakładkę "Bezpieczeństwo" w panelu gracza, w której byłyby wypisane najważniejsze zasady bezpieczeństwa ze swoim kontem.

    Oprócz tego dodałbym jakiś bonus (MF, żetony, gold) za dodanie adresu e-mail oraz jego potwierdzenie. W dodatku system powinien pytać usera minimum 1 raz na pół roku czy podany email jest poprawny/aktualny.

    Dla jeszcze bardziej chcących bezpieczeństwa konta - możliwość dodania klucza U2F np. YubiKey.

    Wszelkie linki wysyłane na email powinny mieć termin ważności (najlepiej podać w treści do kiedy jest link ważny). Dodatkowo kliknięty link powinien wykonywać określoną akcję jeszcze po zalogowaniu się do tego linka - głównie dlatego że niektóre poczty "prewencyjnie" łączą się z danym linkiem, a wykonany już sam request może wykonać niechciane operacje.

    Nie znam dokładnie jak są zaprogramowane formularze w mfo 3 - rejestracji, logowania, przypominania hasła — na pewno powinny być bardzo dokładnie przeglądnięte i na bieżąco dostosowywane do najwyższych standardów bezpieczeństwa.

  6. #6
    Użytkownik
    Dołączył
    28-04-2016
    Postów
    99
    Proponuję zamknąć temat.

    Trochę śmieszkując, ale zaraz poleci propozycja od MapY żeby się podawało PESEL który będzie sprawdzany czy jest poprawny, jeszcze dodajmy do tego weryfikacje dwuetapową ale nie rozdrabniajmy się niech będzie ona przez SMS i jak w banku będzie trzeba podać kod żeby się zalogować do gry przeglądarkowej, bo przecież włamania na konta mfo3 są codziennością....

  7. #7
    Użytkownik Avatar king of fire
    Dołączył
    02-01-2019
    Postów
    82
    Cytat Napisał Antybristler Zobacz post
    Po ostatnim "incydencie" z rejestracjami mam kilka własnych propozycji dot. bezpieczeństwa w MFO3.

    Pewnie w większości wszystkie formularze w MFO3 są sprzed 10 lat, mam nadzieję, że jednak tak nie jest, bo niebyłoby dobrze. Przez tyle lat powstało wiele nowych zagrożeń i należy bezwzględniej podchodzić do bezpieczeństwa.

    1. Stosowania captcha, np. po określonej liczbie nieudanych logowań/rejestracji w ciągu godziny/dobry/IP.
    2. Zwiększenie długości hasła - obecnie 6! znaków, powinno być przynajmniej 10.
    3. Nie powinno być możliwości sprawdzenia, czy na konkretny adres email jest założone konto, obecnie można to sprawdzić w funkcji przypominania hasła. Po podaniu emaila powinien być komunikat w stylu "Jeśli istnieje konto powiązane z tym adresem, otrzymasz email"
    4. Umożliwienie włączenia weryfikacji dwuetapowej - przez email/aplikacje typu authenticator - dla chętnych.
    5. Generalnie warto zastosować wiele rozwiązań z FB/Google/banków, które się sprawdzają w formularzach.
    6. MFO3 nie jest już tym samym co było 10 lat temu, jest więcej elementów w grze, updateów, więc i więcej zagrożeń i ataków na graczy, kradzieży itp.
    7. Historia logowań (udane/nieudane) w panelu gracza, obecnie tego brak, każdy by mógł kontrolować co się dzieje z jego kontem.
    8. Każda nieudana próba logowania mogłaby być raportowana na PW/email - dla chętnych.
    9. Gracze z "TOP" np. TOP 20 każdego z rankingu mogliby być pod większym nadzorem bezpieczeństwa, więcej logów, więcej funkcji zabezpieczenia.
    10. Oczywiście nie należy popadać w paranoję, by nie utrudniać życia przy rejestracji/logowaniu, jednak warto rozważyć te wszystkie kwestie. MFO3 choć jest coraz wyżej w rankingu to jeszcze nie jest bankiem, ale przed najbliższym update fabularnym musi się poprawić przynajmniej kilka kwestii wyżej opisanych.

    Do admina: zachęcam wydrukować i dokonać analizy co można by zrobić, a co nie.
    Dodatkowo linki do mfo3.pl mfo2.pl i my-fantasy.net na FB są nadal z bez HTTPS.

    jest zapewne wiele graczy z haslem mniejszym niz 10 znakow. niektorzy moga hasel 10 znakowych nie zapamietac ani ich nie zapisac a nie kazdy potwierdza mail.
    pozatym nikt nie wlamie ci sie na konto jesli nie podajesz danych logowania. ale dodam to by bylo uciazliwe bo jedynie z czym moge sie zgodzic to numery 4,6,7,8,10. ale i tak watpie ze to przejdzie, bo duzo administracja bedzie musiala zmieniac.

  8. #8
    Użytkownik
    Dołączył
    12-05-2020
    Postów
    205
    3. Nie ma sensu nikt nie potrzebuje, aż tyle znaków. To działa na zasadzie jeśli ktoś nie umie włamać się na konto to nawet mając chociażby 0 znaków uchroni się, jeśli ktoś byłby zdolny to kradzieży to jeśli 4 to oznacza MAŁO, no to wiadomo, że nawet z 10 różnicy nie będzie gdyż jeśli 6 znaków to za mało to być może problem nie jest z tym, że hasło jest prostsze, ale w tym, że nie zależnie od hasła ktoś po prostu całość odtwarza.

    Tak szczerze w mfo3 jest naprawdę bezpiecznie. Wiecie jaka jest prawdopodobieństwo kradzieży w pewnej grze gdzie praktycznie znajdują się 100 osób i po co? (Nie mam na myśli o to, że mfo3 jest słaba i nie warta niczego, bo gra jest super)

  9. #9
    Swoją drogą, jest jakiś limit nieudanych (błędnych) logowań na konto?
    Le tits now

  10. #10
    Użytkownik Avatar Antybristler
    Dołączył
    31-03-2011
    Postów
    3,775
    Cytat Napisał Tensa Zangetsu Zobacz post
    Swoją drogą, jest jakiś limit nieudanych (błędnych) logowań na konto?
    Wydaje mi się że jest. A przynajmniej powinien być i to limit godzinny/dzienny.

    Co do haseł to byłyby one 10 znakowe do nowych userów, bo i tak nie wiadomo kto jak długie ma hasło, w bazie danych hasła są na pewno zaszyfrowane.
    Można by zachęcić do zmiany hasła jedynie w newsie. A haseł nie trzeba zapamiętywać — od tego jest manager haseł.

    Ostatecznie nad wszystkimi propozycjami zastanowi i zdecyduje admin. Jeśli nic się nie zmieni, to nie będzie to najlepsza decyzja.

  11. #11
    Użytkownik Avatar Antybristler
    Dołączył
    31-03-2011
    Postów
    3,775
    Nawet takie prehistoryczne mfo2 posiada captcha: https://mfo2.pl/start2/register.php a w mfo3 admin się boi dodać w mfo3. W dodtaku w MFO3 zrezygnowano z obowiązkowego email na korzyść większej liczby rejestracji, kosztem bezpieczeństwa graczy....

    Może też czas wywalić pole "powtórz hasło" przy rejestracji, coraz więcej serwisów się na to decyduje, czym takie coś się skończy, dowiemy się w przyszłości.

  12. #12
    Redaktor Naczelny Avatar Hubiot
    Dołączył
    31-03-2011
    Postów
    2,220
    Cytat Napisał Antybristler Zobacz post
    Nawet takie prehistoryczne mfo2 posiada captcha: https://mfo2.pl/start2/register.php a w mfo3 admin się boi dodać w mfo3. W dodtaku w MFO3 zrezygnowano z obowiązkowego email na korzyść większej liczby rejestracji, kosztem bezpieczeństwa graczy....

    Może też czas wywalić pole "powtórz hasło" przy rejestracji, coraz więcej serwisów się na to decyduje, czym takie coś się skończy, dowiemy się w przyszłości.
    A to co się znajduje w prawym dolnym rogu strony głównej mfo3.pl?
    ***** ***

  13. #13
    Użytkownik Avatar Antybristler
    Dołączył
    31-03-2011
    Postów
    3,775
    To co się znajduje widocznie nie działa prawidłowo albo jest źle skonfigurowane, skoro doszło do niedawnej sytuacji z rejestracjami.
    Niezależnie od tego, czekam na realizację przynajmniej części propozycji.

  14. #14
    Użytkownik Avatar Cannibal
    Dołączył
    05-03-2016
    Postów
    425
    Cytat Napisał Antybristler Zobacz post
    To co się znajduje widocznie nie działa prawidłowo albo jest źle skonfigurowane, skoro doszło do niedawnej sytuacji z rejestracjami.
    Niezależnie od tego, czekam na realizację przynajmniej części propozycji.
    Zostało to dodane po niedawnej sytuacji.
    Victory is in a simple soul

Uprawnienia

  • Nie możesz zakładać nowych tematów
  • Nie możesz pisać wiadomości
  • Nie możesz dodawać załączników
  • Nie możesz edytować swoich postów
  •