На рассмотрении Информационная безопасность

Hitch

Новичок
Сообщения
10
Симпатии
1
Аверы
21.68
#1
1. Цитата:

Что это за фигня?!?!? Пароли не должны храниться у вас в открытом или зашифрованном виде - допустимо использовать только односторонний хэш!
2. Пароли не должны приходить на емайл пользователя, это создаёт дополнительные риски для каждого пользователя в частности.
3. Бэкапы для проектов такого уровня должны делаться ежечасно, а не от случая к случаю!!! Вы можете сказать что объём данных очень большой и без остановки сервера бэкапа не сделать, но это не так - проблема решается очень просто, в основе подхода лежит грамотно настроенная репликация бд.
4. Если вдруг бэкапы делались, то как вы умудрились их потерять? Делаться они должны не на тот же самый сервер а на удаленный. Доступов к удалённому серверу на основном нет, а у удалённого к основному есть - коннектимся по ssh и с помощью rsync сливаем бэкапы в безопасное хранилище. Естественно к удалённому серверу доступы известны на много более ограниченному числу лиц чем к основному - в идеале только одному - вам - руководителю проекта!
5. Этот пункт не технический, а скорее в плане менеджмента: что за тотальная и очень избирательна цензура на форуме? Я про предмодерацию всех сообщений. Сообщения с матом, оскорблениями, полной чушью и откровенным флудом с целью набить монеток на форуме - проходят. А когда пытаешься написать что-то по делу, выступить с конструктивной критикой - то это сразу затирается. Таким подходом вы отпугнете достаточную часть клиентов... ой игроков)))

ПС 1: Я ни в коем случае не умничаю, просто описываю достаточно очевидные вещи, которые должен понимать каждый человек, занимающийся серверной разработкой. Но почему то у вас это не реализовано, странно...
ПС 2: При необходимости могу проконсультировать вас по этим вопросам, обращайтесь на емайл данного аккаунта.
ПС 3: Если хотите чтобы я не делал больше таких тем (перестал бороться за лучшее будущее для проекта), то просто как обычно затрите тему - я всё пойму)))
 

KillMeEpt

Участник проекта
Сообщения
98
Симпатии
39
Аверы
41.76
#2
1 У проектов покрупнее были сливы баз
2 Риск то да, но это уже пользователь должен заботиться о безопасности своего ящика
3 На сколько я смог понять со взломанной машины был доступ к бэкапам и поэтому так вышло)
4 смотреть выше
5 Админ всегда прав
P.S никогда бы не подумал что в 2к18 аверию можно нагнуть простым брутом
 
Последнее редактирование:

Hitch

Новичок
Сообщения
10
Симпатии
1
Аверы
21.68
#3
P.S никогда бы не подумал что в 2к18 аверию можно нагнуть простым брутом
Ах да ещё кое что вспомнил - префиксы игровых аккаунтов!!! Короче чтобы поменять префикс отправляется запрос на их сервер, я писал скрипт чтобы зарегать себе аккаунты с нужными префиксами - так вот - можно десятками тысяч раз слать этот запрос на сервер с минимальный задержкой (по несколько десятков а то и сотен запросов в секунду) - и ничего, никакой защиты - перебирай до бесконечности пока не выпадет нужный тебе!!! Мой последний префикс подобрался примерно после 36 тысяч попыток, но это было достаточно быстро, всего лишь минут 10-15, а можно ведь делать это не в 1 поток))) Могу выложить пример скрипта чтобы вы убедились, но тогда думаю сообщение точно не пропустят.
 

Sueno

Misericordia
Служитель Аверии
Сообщения
8,388
Симпатии
6,006
Аверы
183.87
Клан
Отсутствует
#4
насчет паролей согласна, то что файлик еще присылают нам с сохраненным паролем - это ад, они вообще никак не защищены ))
 

RickRozz

Новичок
Сообщения
10
Симпатии
0
Аверы
10.68
#5
Хм,почему то я вообще не могу сменить пароль-пишет не совпадает старый.
Что скажите?
 

Kasatka

Участник проекта
Сообщения
10,225
Симпатии
17,612
Аверы
142.02
#6

NoobFromBLR

Участник проекта
Сообщения
522
Симпатии
93
Аверы
65.95
#7
а пин-код от чара тоже где-то хранится?
 

MaHsepp

Участник проекта
Сообщения
280
Симпатии
107
Аверы
114.10
#8
deleted
 
Последнее редактирование:
Сверху