[maasea]

[Зарегистрироваться?]

выяснилось, что их сеть использует не SSL-шифрование, как все остальные, а свою систему кодировки, которую "можно взломать при помощи калькулятора".

опасность того, что кто-то станет смотреть ваши карты ничтожно мала, конечно, но вот просниффать трафик вашего провайдера на предмет паролей от рума сможет любой толковый технический работник, увлекающийся покером ну а на уровне провайдера, обслуживающего саму сеть cereus можно завладеть информацией вообще обо всех аккаунтах.

реакция ultimate bet [Зарегистрироваться?]

[direct3d]

Была фигня одна. Играл я нл50 6-макс год назад на AP. Мне сдали на батоне QQ. В итоге на префлопе CO лимп, я рэйз, CO колл, блайнды пасс. Флоп 953 радуга. CO чек , я делаю ставку 2\3 пота, CO ИНСТА-фолд с показом карт JJ!

[maasea]

2 недели назад еще появился топик на 2+2 о том, что в ху-снг в их сети стало видно все сфолженные руки.

[Dowid]

Видимо мало платили программистам, вот и хромает секьюрити. Дырявые клиенты не только у careus.
Недавно сам был в шоке когда воспользовался системой напоминания пароля в RedKings и мне прислали пароль в открытом виде. а вы говорите ssl.

[Katar]

Цитата:

Сообщение от Dowid

Видимо мало платили программистам, вот и хромает секьюрити. Дырявые клиенты не только у careus.
Недавно сам был в шоке когда воспользовался системой напоминания пароля в RedKings и мне прислали пароль в открытом виде. а вы говорите ssl.

а что это значит поясни плиз

[Wonkon]

Цитата:

Сообщение от Katar

а что это значит поясни плиз

Это значит что пароль возможно хранится в базе данных провайдера услуг в незашифрованном виде, а значит любой кто взломает базу данных провайдера получит доступ ко всем счетам автоматически. При нормальной системе безопасности, пасворд низнает никто кроме хозяина. Даже провайдер услуг, так как в его базе он зашифрован и практически не подается расшифровке за вменяемые деньги. Ну и плюс сам емэйл злоумышленники могут прочитать/перехватить.
Но это не обязательно так. Иногда бывает, что провайдер присылает временный пароль, который действует только для одного логина, и требует обезательной замены. Новый же пассворд попадает в базу зашифрованным.

[Katar]

Цитата:

Сообщение от Wonkon

Это значит что пароль возможно хранится в базе данных провайдера услуг в незашифрованном виде, а значит любой кто взломает базу данных провайдера получит доступ ко всем счетам автоматически. При нормальной системе безопасности, пасворд низнает никто кроме хозяина. Даже провайдер услуг, так как в его базе он зашифрован и практически не подается расшифровке за вменяемые деньги. Ну и плюс сам емэйл злоумышленники могут прочитать/перехватить.
Но это не обязательно так. Иногда бывает, что провайдер присылает временный пароль, который действует только для одного логина, и требует обезательной замены. Новый же пассворд попадает в базу зашифрованным.

спасибо, но все равно не очень понятно. Dowid написал что прислали пароль в открытом виде, собственно это меня и заинтересовало, а как его еще могут прислать если ты его востанавливаешь на мыло? И это не означает что они хранятся у них в открытом виде. Вообще не думаю что в онгейме они хранятся в открытом виде.

Про временный пароль тоже интересно. Я так понимаю когда логинишься со временным паролем то на свой счет не заходишь а выскакивает окно с предложением смены пароля, и если ты отказываешься менять то доступа к счету не получаешь. Поправь если не так и доступ к счету все равно получаешь. И также - если сменить временный пароль на такой же то прокатит или нет?

[abre]

Цитата:

Сообщение от Katar

спасибо, но все равно не очень понятно. Dowid написал что прислали пароль в открытом виде, собственно это меня и заинтересовало, а как его еще могут прислать если ты его востанавливаешь на мыло? И это не означает что они хранятся у них в открытом виде. Вообще не думаю что в онгейме они хранятся в открытом виде.

Это значит, что он хранится в виде, который легко подвергается расшифровке, если сам рум может его тебе выслать. Это дыра в безопасности, причем приличная.

В нормальных системах хранится не сам пароль, а т.н. хеш от него. Зная хеш пароль восстановить невозможно, поэтому пароль всегда при утере меняется.

[Dowid]

Все верно, НЕ хранить пароль в открытом виде это самый НАЧАЛЬНЫЙ уровень безопасности. В любой приличной системе пароль нельзя вспомнить, его можно только скинуть.

[Active1]

Katar, имеется в виду, что вместо пароля должна была придти ссылка, пройдя по которой можно сбросить старый и установить новый пароль.

Но все равно, все это весьма неустойчиво, так как главное опасение — данные при пересылке в незашифрованном виде становятся доступны третьим лицам — никуда не исчезает. Это третье лицо может воспользоваться той же ссылкой и установить свой пароль быстрее хозяина акка.

Поэтому в "нормальных системах" существуют еще и пины или устройства доступа, кроме паролей, для тех, кто всерьез заботится о безопасности акка.

[hiNt]

нда, это ж насколько людям должно быть пох на игроков своей сети, просто жесть

[p1366]

Dowid, они прислали тебе твой старый пароль в открытом виде?
Если это так, это не "приличная дыра в безопасности" - это просто полный ПИ3DE^!

Katar, если пароль хранится в системе в открытом виде, то это просто НЕ система безопасности. Любой, кто имеет доступ к базе, может видеть твой пароль, даже какой-нить менеджер из суппорта.

Железный принцип - система безопасности вообще не должна знать твой пароль, поэтому обычно хранится хеш пароля - некоторый код, получаемый из твоего пароля функцией хеширования (см. матан) Фхеширования(твой_пароль)=хеш_код_твоего пароля. Таким образом, когда ты вводишь свой пароль при логине, снова вычисляется хеш_код_твоего пароля и сравнивается с тем, что хранится в базе. Причем математически это реализовано так, что Фхеширования вычисляется быстро, а обратная функция (дехешировать хеш в пароль) оч. долго - в идеале перебором.

Соответственно, даже если злоумышленник подсмотрел в базе твои даные, пароля твоего он не узнает, если это конечно не qwerty или 123 или что-то в таком духе, для чего хеш можно заранее посчитать (зная конкретную реализацию, используемую софтом) и сравнить "на глаз". Это еще делается и в тех целях, чтоб пользователь не светил никому пароль (даже суперпупер админу ресурса) на тот случай, если он использует 1 сложный пароль для многих ресурсов (что все равно плохо) или использует какой-то принцип при построении пароля (например определенная трансформация логина), что опять же позволит узнать его пароли от других ресурсов.

Второй вывод - при нормальной реализации тебе не могут физически прислать твой пароль - у них хранится только его хеш код. Поэтому или шлют ссылку по которой ты можешь без логина зайти в смену пароля к своему акку или генерируют новый, временный пароль (в базу соответственно попадает новый хеш код) и шлют тебе, чтоб ты быстренько залогинился и сменил его на известный только тебе.

Третий вывод - если тебе прислали твой старый пароль (хоть в открытую, хоть прошептали на мобилу) - значит там нет системы безопасности, там - проходной двор.

П.С. Извиняюсь за много букв.

[Dowid]

Цитата:

Сообщение от p1366

Dowid, они прислали тебе твой старый пароль в открытом виде?
Если это так, это не "приличная дыра в безопасности" - это просто полный ПИ3DE^!

Все верно, мне прислали на почту мой старый забытый пароль. Желающие могут проверить воспользовавшись системой восстановления пароля на Redkings.
Для восстановления пароля ДОСТАТОЧНО ввести email с которого регистрировался и на это мыло придет старый пароль, под которым можно войти в систему. Его даже не рекомендуют менять.

Про полный П.. согласен.

[p1366]

Нда, в РедКингз - ни ногой(с)
Я тут давече в одной из витрин боссмедии регистрировался, ограничение на пароль 6-8 символов - и то напрягся.

Действительно, остается только удивляться насколько пох людям, владеющим немаленьким бизнесом, на безопасность.

П.С. Вообще, покерный софт весьма удивляет - часто густо убогий дизайн и отвратное юзабилити, при том что от этого зависят их доходы. Да еще и проблемы с безопасностью.

[Katar]

Да уж, раздолбайство еще то

[direct3d]

Вот есоч про пароли на Пацифик покере. Сегодня общался с саппортом, в итоге пароль я им не называл.

Hero: Hi, How muck rake do i need accumulate to release my 100 bonus dollars at my account ?
.....
Shian: could you also confirm the first 2 characters of your password please?
Hero: Its security violence to ask password
Hero: So answer please my question
Hero: How muck rake do i need accumulate to release my 100 bonus dollars at my account ?
Shian: I am sorry Hero but it is policy that we ask for the first two characters of your password to verify the owner of the account. I am not asking you for your full password.
Hero: I refuse
Hero: i later write via email without any passwords
Shian: no worries. please confirm your full address Hero
.....
Shian: Thank you so much for providing the details Hero.
....

[Gerda]

OMG
2 первых символа пароля только
это стандарт

[maasea]

история с ub/ap продолжается: вчера они заявили, что внедряют open ssl шифрование, но PTR заявили, что всё осталось по-прежнему - пароли от аккаунтов (ну и карты сдающиеся) до сих пор можно получить простым сниффингом трафика, доступ к компьютеру жертвы не требуется.

[sqsq]

*ля.. надо выводить деньги.. жесть кака-то..

насчёт редкингс-это только там или во всём онгее?

[maasea]

Цитата:

Сообщение от sqsq

насчёт редкингс-это только там или во всём онгее?

то что у них в базе хранится пароль в открытом виде по большому счету никак на его сохранность не влияет, они ж не форум любительский какой-нибудь. если кто-то и получит доступ к базе аккаунтов онгейма, то явно пароли игроков им не понадобятся, можно не волноваться
вот то, что его высылают по имейлу - плохо, но если не запрашивать, то и не пришлют.