Пока игрок в игре, второй раз его не пустят. В смысле пока игрок в игре, под его аккаунтом с другого компьютера не войдешь. В рамках данного проекта это правильно.
ШОЙТАНАМА!!!
Тут интересная дискуссия проскочила, и я там показательно спалил свой пароль )
Кто-то решил проверить. Зашел под моим аккаунтом и написал коммент.
Вся шутка в том, что меня не выкинуло, моя сессия не обнулилась.
Товарищи!!! Так нельзя!!!
Скрипт мешает сделать то, что придется выкинуть пользователя из игры, а это обычно не приятно. Еще придется учесть много нюансов по подмене сессии и много чего еще. В итоге этот способ окажется невыгодным.
У меня миллион пользователей, читать личную переписку каждого как-то не с руки. И потом я не фетишист и это не доставит мне удовольствия.
А вы когда-нибудь работали с распределенной архитектурой и кешированием данных?
Может мне еще проще будет написать один раз админку, которая без авторизации будет вводить меня в игру под любым пользователем?
Да все я понял. Это вы не понял.
ВСЁ рано или поздно можно взломать.
Виноваты оба!
1й в том, что использует один пароль для банка и для чего угодно еще.
2й в том, что не обеспечил достаточную защиту информации и ее сперли.
Только разница в том, что оба не виноваты в проблемах друг друга!!!
У меня на всех форумах один и тот же пароль (вернее два), и на вконтакте в том числе. Но на доступ к банку почему-то специальная программа для обеспечения защищенного соединения и два разных пароля, которые больше нигде не использую. И на вебмани пароль, который я не в силах запомнить, и на ЯД отдельный.
Спасибо.
Меня тут посетила мысль.
Я администратор одной популярной интернет игры. Пароли у нас хранятся открыто и пользователи об этом в большей своей части знают. Очень часто для решения проблем приходится войти тем или иным пользователем в игру и посмотреть на проявление проблемы своими глазами. Да и лог посмотреть во время возникновения ошибки. При постоянном количестве игроков более 1000 и кластере о двадцати серверах искать проявление неизвестной ошибки в гигабайтах логов занятие не самое приятное.
Так вот, о чем мы здесь. Я могу зайти в админку, взять пароль перса и войти им. А если бы пароль был шифрованным? Пришлось бы просить его у пользователя. В данном случае зашифрованный пароль открывает простор действия лжеадминам на поле социального инжиниринга ;) Т.к. пользователь знает о том, что админ всегда знает его пароль, он никому его не отдаст по первой просьбе ;)
А социальный инжиниринг пострашнее любого взлома ;)
Все сказанное сугубо IMHO. Я с полной ответственностью понимаю, что пользователь может быть дураком и отдать свой пароль, но это уже его проблемы.
Вот что будет, если ты узнаешь мой пароль от хабра? Я должен дрожать?
Это вроде серьезный проект, тут все дрожат за свою карму. Мне по барабану.
Мне наплевать на пароли пользователей.
Мне проще в случае чего сгенерировать всем новые пароли и выслать на почту.
Если проект серьезный, то в нем есть данные поважнее паролей, и если его будут ломать, то уж точно не ради паролей.
Мой пароль от хабра «xuntaka». Все, теперь мой пароль знают все! Плакала моя карма? Кто-то угонит мой аккаунт? Кто-то напишет гадость от моего имени?
Кому нужен мой пароль?
Пароли никому не нужны! Ради паролей проекты не ломают!
Хранить в куке только идентификатор сессии это нормально. Это из моего программистского детства ) Но если от пользователя пришла кука с сессией, а в базе ее нет, то звиняйте, вводите пароль. Ввели пароль — получите НОВУЮ сессию с НОВЫМ идентификатором и, соответственно, НОВУЮ куку. Этот велосипед я для себя открыл сам. phpBB хранил и хранит, наверное, логин и пароль пользователя (шифрованный), а когда получает куку, логинит пользователя автоматом. Не оживляет сессию, а именно логинит. Я это не одобрил и придумал свое. А так как не понимал как работает встроенный в РНР механизм сессий, то придумал свой.
Если вы не ошиблись и хабр работает именно так, то это просто пипец.
тут просто файлики с паролями доступны все пользователям системы ;) Кстати, пароли расшифровываются очень быстро ;)
Пароль Сары Пелин никто так и не узнал. В системе Yahoo дырка дает возможность попасть в ящик в обход пароля ;)
Как ни соли пароль, а его взлом вопрос времени и ресурсов.
Я в криком кричу: АХТУНГ!!!
Тут интересная дискуссия проскочила, и я там показательно спалил свой пароль )
Кто-то решил проверить. Зашел под моим аккаунтом и написал коммент.
Вся шутка в том, что меня не выкинуло, моя сессия не обнулилась.
Товарищи!!! Так нельзя!!!
У меня миллион пользователей, читать личную переписку каждого как-то не с руки. И потом я не фетишист и это не доставит мне удовольствия.
Удачи ;)
Может мне еще проще будет написать один раз админку, которая без авторизации будет вводить меня в игру под любым пользователем?
ВСЁ рано или поздно можно взломать.
Виноваты оба!
1й в том, что использует один пароль для банка и для чего угодно еще.
2й в том, что не обеспечил достаточную защиту информации и ее сперли.
Только разница в том, что оба не виноваты в проблемах друг друга!!!
У меня на всех форумах один и тот же пароль (вернее два), и на вконтакте в том числе. Но на доступ к банку почему-то специальная программа для обеспечения защищенного соединения и два разных пароля, которые больше нигде не использую. И на вебмани пароль, который я не в силах запомнить, и на ЯД отдельный.
Меня тут посетила мысль.
Я администратор одной популярной интернет игры. Пароли у нас хранятся открыто и пользователи об этом в большей своей части знают. Очень часто для решения проблем приходится войти тем или иным пользователем в игру и посмотреть на проявление проблемы своими глазами. Да и лог посмотреть во время возникновения ошибки. При постоянном количестве игроков более 1000 и кластере о двадцати серверах искать проявление неизвестной ошибки в гигабайтах логов занятие не самое приятное.
Так вот, о чем мы здесь. Я могу зайти в админку, взять пароль перса и войти им. А если бы пароль был шифрованным? Пришлось бы просить его у пользователя. В данном случае зашифрованный пароль открывает простор действия лжеадминам на поле социального инжиниринга ;) Т.к. пользователь знает о том, что админ всегда знает его пароль, он никому его не отдаст по первой просьбе ;)
А социальный инжиниринг пострашнее любого взлома ;)
Все сказанное сугубо IMHO. Я с полной ответственностью понимаю, что пользователь может быть дураком и отдать свой пароль, но это уже его проблемы.
Это вроде серьезный проект, тут все дрожат за свою карму. Мне по барабану.
Мне наплевать на пароли пользователей.
Мне проще в случае чего сгенерировать всем новые пароли и выслать на почту.
Если проект серьезный, то в нем есть данные поважнее паролей, и если его будут ломать, то уж точно не ради паролей.
Мой пароль от хабра «xuntaka». Все, теперь мой пароль знают все! Плакала моя карма? Кто-то угонит мой аккаунт? Кто-то напишет гадость от моего имени?
Кому нужен мой пароль?
Пароли никому не нужны! Ради паролей проекты не ломают!
Если вы не ошиблись и хабр работает именно так, то это просто пипец.