Форумы мира Хаддан - Показать сообщение отдельно - О некоторых багах (раскрытие информации от 04.12.2017)

#2 24.04.2017, 18:26

---
А теперь к проблемам.
---

1 проблема:

Совершенно случайно и преднамеренно решил я поснифать трафик, что отправляет браузер при игре в эту игру.
Заюзаем Wireshark и пробуем войти в игру.
И дальше видим (не волнуйтесь, пароль я уже сменил на более другой

):

Что это значит?
Все просто, пароль передается в открытом виде, что в целом противоречит любым правилам безопасности и так делали в лучшем случае, на заре интернета.

Что это значит для игрока?
Ваш пароль могут увести, вот два первых пришедших в мою голову способа (вопрос зачем угонять пароль от игрока такой игры мы оставим за рамками данного вопроса, ибо моя задача найти, а как злоумышленники и зачем будут эксплуатировать уязвимость - не моя задача)
Первый способ, вы приходите, скажем на хаддан пати, и решаете зайти в игру на, скажем большой замес, вы видите бесплатный Wi-Fi, подключаетесь, логинитесь и играете, неподозревая, что в этот момент ваш трафик, все ваши запросы были (зачеркнуто)зохаваны Ктулху(/зачеркнуто) заснифаны, и все ваши паролики, в любой момент можно прочитать и зайти за вас в игру (зачеркнуто)качать путь в храме(/зачеркнуто), узнать об это вы сможете только тогда, когда все станет плохо.
Второй способ, допустим на том же хаддан пати, люди ставят "прокси" на интернет, которая меняет dns-запись, тем самым вы "вроде как" обращаетесь на адрес haddan.ru, но прокси с левым dns-ом отдает вам адрес скажем "evilMan" (тут я хотел написать как точка орг, но в таком случае я получаю ошибку форумного движка с ошибкой nginx-а

есть подозрения, что это как-то связано, а может и нет), на котором так же все ваши данные угоняются.

Как решать такие вопросы?
Эти проблемы решены путем использования https, т.е. шифрованного туннеля, между клиентом и сервером, так что любой кто попытается снять трафик ваш, получит шифрованную фигню, которую с большой долей вероятности (если ключ шифрования больше 1024) не сможет за разумные сроки дешифровать.
Для того чтобы работал https, требуется ssl сертификат. Его можно купить, как делают все люди, он действителен на год, стоит это от 800 рублей, до 30к за год, зависит от предпочтений, либо можно сделать свой собственный самоподписанный сертификат, с корневым и все такое, что стоит ничего, требуется только OpenSsl (бесплатная программка для сотворения (зачеркнуто)мира(/зачеркнуто) сертификатов), в самом извращенном случае можно бесплатный сертификат от Let's Encrypt (но я как-то не очень им доверяю, хотя для шифрованного туннеля самое то)