| Автор | Защита от взлома при переходе по РВС и угона паролей трояном. |
|---|
Суть:
Изменение почтового ящика, используемого для восстановления пароля, производить с проверкой доступа к действующей почте.
Зачем:
Чтобы защитить пользователя от угона почтового ящика с использованием механизма межсайтового скриптинга, троянских программ.
Даже если он попал на страницу содержащую скрипт и потерял пароль, он не потеряет привязку к почте и сможет восстановить пароль.
Способ решения:
Изменяется процедура смены почтового ящика.
1. Пользователь вводит текущий пароль, новый адрес электронноый почты.
Адрес проверяется при помощи письма, отправляемого на новый адрес, содержащий подтверждающую ссылку вида
https://mirror.heroeswm.ru/email_verify_new.php?id=[playerID]&SID=[sessionID]&code=[uniqueCode]
Правильность ссылки определяется соответствием идентификаторов персонажа, текущей сессии и уникальным кодом сгенерированным специально для них (но не являющемся их функцией). Если пользователь после этого нажмет "Выход" или иным образом закончит сессию ссылка будет нерабочей и ей не сможет воспользоваться злоумышленник.
2. Проходя по ссылке, которая была отправлена на новый почтовый ящик, пользователь попадает на специальную страницу для завершения смены почтового ящика вида
https://mirror.heroeswm.ru/email_change.php
На которой будет написано "Для завершения изменения адреса электронной почты, используемого для восстановления пароля, требуется проверка доступа к действующему почтовому ящику" и будет кнопка "продолжить".
При нажатии на кнопку "Продолжить" на текущий адрес электронной почты отправляется письмо содержащее проверочную ссылку вида
https://mirror.heroeswm.ru/email_verify_current.php?id=[playerID]&SID=[sessionID]&code=[uniqueCode]
Правильность ссылки определяется соответствием идентификаторов персонажа, текущей сессии и уникальным кодом сгенерированным специально для них (но не являющемся их функцией).
При переходе по данной ссылке адрес электронной почты изменяется на новый. На старый и новый адреса электронной почты отправляется сообщение описывающее подтверждение данного факта.
3. Пользователь возвращается на первую страницу изменения адреса электронной почты.
Опционально использование капча при вводе нового адреса. |
| До тех пор, пока игроки спокойно раздают свои пароли, смысла вводить более сложную защиту нет. |
До тех пор, пока игроки спокойно раздают свои пароли, смысла вводить более сложную защиту нет.
Сфинкс дело говорит. |
единственное что можно сделать это двойной пароль.
Первый дает ограниченный доступ к персу, ограничения может вводить сам игрок. Например на продажу, подарки, покупки, форум и смену пароля с мылом итд. Такой пароль может использоваться для входа в относительно небезовасные моменты вроде чужого компа. И пароль дающий полный доступ.
для Necrodem:
слишком много взломов что бы сходу рассказывать что все сами виноваты |
| единственное что можно сделать это двойной пароль. что неоднократно и нетолько мной писалось, но До тех пор, пока игроки спокойно раздают свои пароли, смысла вводить более сложную защиту нет. |
От межсайтового скриптинга застрахован только тот, кто выключает javascript или закрывает текущую сессию, когда ходит по около игровым ресурсам.
Особенно, если учесть что безопасность персонажа в виде привязки к почтовому адресу выполнена в таком уязвимом к подмене виде.
Пароль кстати тоже бы заставить изменять через почту. |
| дураков не обезопасить и тройная защита... |
для Улитарид:
про дураков тут речи нет, хотя я за себя тоже волнуюсь :) |
| дай дураку хрустальный... |
| Ответ же очевиден, надо надежную почту прописывать. А не зарегистрировался, и забыл про существование почты. |
для Admics:
если можно изменить почту не имея к доступа - вся ее надежность умножается на ноль |
| Пост #2 всё сказал. |
для СтепнойВарварка:
Изменение почтового ящика, используемого для восстановления пароля, производить с проверкой доступа к действующей почте.
Для восстановление пароля:
1. Надо знать почту на которое восстанавливается пароль
2. Надо иметь доступ к этой почте
Если оба пункта неизвестны злоумышленнику, то все телодвижение с почтой бессмысленны. |
для Admics:
понимаешь, если ты вошел в игру, и пошел к примеру на сайт элементаля проверить какая у тебя прокачка, то можешь и не подозревать что произойдет с персонажем если на данной страничке есть скрипт который поменяет тебе почту, потом пароль и все - еще один терпила лепит горбатого перед апеляционной комиссией, давясь соплями, твердит что ни по каким рвс не ходил :) |
для Цирконий:
Согласен :D |
для смены почты надо знать текущий пароль
https://mirror.heroeswm.ru/pers_psw.php
Смена e-mail
Текущий пароль в игре:
Новый e-mail:
Повтор e-mail:
как то не стыкуется... |
| и еще маячит надпись на стороннике персонажа Внимание! Ваш e-mail был изменен менее чем три дня назад (07-26-13 14:16)! |
