PENDALF_MODERATE Опубликовано: 9 мая Игроки 611 публикация 514 боёв Поделиться Опубликовано: 9 мая 59 минут назад пользователь nPoCTo_urPalO сказал: С двухфакторной я сегодня ознакомился. Если и эту *** введут по обязаловке, как гц, 1000% бросаю игру и удаляю акк (если дадут, конечно). И больше уже возврата в это болото не будет. Глаза разуй и читать научись: Это официальная формулировка Лесты из официального письма, которое получили многие, в т.ч. я. Так что нотации и сказки о скриптах им рассказывай. Ты мне покажи скриншот как ты реально в свой аккаунт с неверными паролями ломишься и на какой попытке тебе сервер авторизации выдаст : АККАУНТ ЗАБЛОКИРОВАН! А не эту писюльку что там кто то "массово" каким то перебором занимался. Тут такое исключено. Это бред! Ввод в заблуждение. если твой аккаунт не заблочен, то никто никаким перебором, кроме нескольких попыток максимум, в ручную!, не занимался. Потому что это невозможно тут реализовать! Родился 4 сентября 1972 года. Ссылка на комментарий
PENDALF_MODERATE Опубликовано: 9 мая Игроки 611 публикация 514 боёв Поделиться Опубликовано: 9 мая В двух словах, если ты ничего в брутфорсинге не понимаешь, как это работает. То что тебе прислали в письме - бред сивой кобылы. если бы там было написано всё ровно тоже но без бреда про словари и прочее, то это было бы правда. Скрипт заподозрил несколько неверных вводов пароля и зафиксировал это и тебя уведомил. Родился 4 сентября 1972 года. Ссылка на комментарий
PENDALF_MODERATE Опубликовано: 9 мая Игроки 611 публикация 514 боёв Поделиться Опубликовано: 9 мая (изменено) Как ты сам считаешь, если скрипт это умеет , даже если кто с пятой попытки свой пароль вспомнил - уже подозрение у него вызывает. Он допустит реальный брутфорс у себя? ответ очевиден - нет. Ну есть конечно риск что кто то пальцем в небо попадёт. но тут никакие словари не нужны) Просто минут 10 самому руками пароли повбивать. Больше 10 попыток врядли получится) Вероятность что за 10 попыток кто-то угадает пароль от аккаунта примерно равна вероятности совпадений хешей паролей. В БД пароли не в открытом виде лежат, а только их хеш функции. Сервер сверяет не сам пароль присланный ему, а вначале его хеширует, потом досстаёт из БД уже лежащую там хеш функцию пароля верного и сверяет их, а не пароли. При хешировании чего-либо, тоже есть риск совпадения. но он настолько мал, что им пренебрегают. Например хеш функция пароля ВасЯ совпала с хеш функцией пароля ДимА - пароли разные , а хеш одинаковый. А хеширует он их для безопасности, чтобы даже админ сервера не смог верный пароль знать. Если он не зафиксирует присланный пароль в открытом виде, то по хеш функции ему так же подбирать нужно будет пароли. Но это муторно, долго и незачем. Изменено 9 мая пользователем PENDALF_MODERATE Родился 4 сентября 1972 года. Ссылка на комментарий
nPoCTo_urPalO Опубликовано: 9 мая Игроки 2 391 публикация 13 067 боёв Поделиться Опубликовано: 9 мая 38 минут назад пользователь COH_BOPOHA сказал: всё прекрасно, но где доказуха того, что у этого письма и авторизацией в лестовском центре есть связь? Без этого при всём желании предъяву кинуть нельзя, ты как взрослый человек сам должен это понимать лучше меня. И ещё, как же ты без центра обновлял игру до этого момента, когда ты говоришь, типа, совсем недавно в первый раз зашёл в игру через него, такое заявление чем-то пованивает, уж не обессудь. Следовательно, если заходы в центр были не в первый раз, чё мы тогда про него вообще упоминаем? непонятка вырисовывается. Я и не кидаю, просто отмечаю очень возможную связь. Логику выводов пояснил. Ты сколько лет в игре? Для обновления авторизация в гц не нужна, достаточно запуска: запустил, обновился, вырубил, зашёл в игру через ехе. Опрос по железу >>>>> Последний раз был в бою: 17.05.2026 19:45 Ссылка на комментарий
nPoCTo_urPalO Опубликовано: 9 мая Игроки 2 391 публикация 13 067 боёв Поделиться Опубликовано: 9 мая 47 минут назад пользователь COH_BOPOHA сказал: такие мутные нелояльные скрипты могут быть только на всяких подозрительных сайтах всяких ещё более подозрительных Пендальфов. Тень на плетень, все дела, лишь бы никто не пронюхал, как на самом деле обстоят дела на твоём сайте, там, небось, вообще только раз мимо прошёл и кабзда, во все мошеннические сервисы тебя уже слили два раз. Да? Я до сих пор к конкретных сомнениях на этот счёт, аэродром опять же, чё к чему? В принципе, варик этого нечитателя тоже не исключен: алгоритмы по пьяни перебдели и начали бить в колокола и требовать сменить пароли. Только вот этот вариант ещё хуже, т.к., снимая подозрения с мелкого лгц, кунает в грязь систему сетевой безопасности Лесты в целом. Ибо постоянные глюки с капчой (в этом году их реально много, кстати) с переходом в паранойю о якобы подборе паролей это ненормально. Опрос по железу >>>>> Последний раз был в бою: 17.05.2026 19:45 Ссылка на комментарий
COH_BOPOHA Опубликовано: 9 мая Игроки 1 071 публикация 54 803 боя Поделиться Опубликовано: 9 мая 9 минут назад пользователь nPoCTo_urPalO сказал: В принципе, варик этого нечитателя тоже не исключен: алгоритмы по пьяни перебдели и начали бить в колокола и требовать сменить пароли. Только вот этот вариант ещё хуже, т.к., снимая подозрения с мелкого лгц, кунает в грязь систему сетевой безопасности Лесты в целом. Ибо постоянные глюки с капчой (в этом году их реально много, кстати) с переходом в паранойю о якобы подборе паролей это ненормально. а этот форум? Он же постоянно трясётся и форумная авторизация переключается совершенно отдельно от всех лестовских сервисов, и прогружается постоянно через ошибку, что если это из-за форума? Ссылка на комментарий
PENDALF_MODERATE Опубликовано: 9 мая Игроки 611 публикация 514 боёв Поделиться Опубликовано: 9 мая (изменено) 11 минуту назад пользователь COH_BOPOHA сказал: а этот форум? Он же постоянно трясётся и форумная авторизация переключается совершенно отдельно от всех лестовских сервисов, и прогружается постоянно через ошибку, что если это из-за форума? На форуме нет никакой авторизации. Тут только аутентификация. Авторизация на сайте авторизации Лесты только. если ты авторизовался на сайте авторизации Лесты - вошёл в свой аккаунт там, то на форуме ты просто аутентифицировался. Если бы на форуме была авторизация, то тебе бы пришлось на форуме вбивать свой логин и пароль. И отнюдь не Лестовский, не от твоего игрового аккаунта, а отдельный аккаунт нужен был бы - форумный. Изменено 9 мая пользователем PENDALF_MODERATE Родился 4 сентября 1972 года. Ссылка на комментарий
Lady_Gerliona Опубликовано: 9 мая Игроки 442 публикации 933 боя Поделиться Опубликовано: 9 мая 39 минут назад пользователь PENDALF_MODERATE сказал: На форуме нет никакой авторизации. Тут только аутентификация. Авторизация на сайте авторизации Лесты только. если ты авторизовался на сайте авторизации Лесты - вошёл в свой аккаунт там, то на форуме ты просто аутентифицировался. Мне интересно это читать в 2026-м году. Пролистала вверх до раздела, где находится тема, и, к своему глубокому удивлению, не обнаружила путь темы "Разговоры тут" - "Юмор". Иваныч, а как насчёт технологии "междоменного" доверия? Форум не просто "аутенцифицирует пользователя", он принимает от центрального портала сессионный токен. Когда ты входишь на портал, в браузер пробрасываются куки. Когда ты авторизован там, ты просто нажимаешь войти и видишь в центре экрана динамическую стрелочку синего цвета, после чего, ты уже авторизован на форуме, без ввода почты и пароля. Если ты попробуешь войти с чистого браузера именно на форум, то, после нажатия кнопки войти, система выдаст тебе именно ту самую форму с введением почты и пароля. Именно по этому и не работала кнопка "Выход". Через куки данные подтягивались назад и ты, несмотря на своё желание сменить аккаунт на форуме, по прежнему находился под своими старыми данными. Впрочем, продолжай свои исследования в этом направлении, это даже забавно. И пишешь ты не по 1-2 строчки, а анализируешь, что ценно. А про кнопку "выход" я ещё 10 лет назад рассказывала, если мне задавали вопросы приватно. Ошибаться можно. Врать нельзя! Ссылка на комментарий
PENDALF_MODERATE Опубликовано: 9 мая Игроки 611 публикация 514 боёв Поделиться Опубликовано: 9 мая (изменено) 20 минут назад пользователь Lady_Gerliona сказал: Иваныч, а как насчёт технологии "междоменного" доверия? Междоменное "доверие" политиками браузера запрещено. Нужно либо прокси сервер ставить, либо на сервере с которого другой домен хочет что-либо получить, в заголовок вписывать домены которые доверены. Это если ты про междоменное доверие) А если про OpenID по которому ты на этот форум входишь, оно к междоменному доверию никак не относится. Сервер авторизации шлёт пакет аутентификации на любой домен! И любой домен его примет. даже виртуальны - твой локалхост - без проблем. Изменено 9 мая пользователем PENDALF_MODERATE Родился 4 сентября 1972 года. Ссылка на комментарий
Lady_Gerliona Опубликовано: 10 мая Игроки 442 публикации 933 боя Поделиться Опубликовано: 10 мая 7 минут назад пользователь PENDALF_MODERATE сказал: Междоменное "доверие" политиками браузера запрещено. Нужно либо прокси сервер ставить, либо на сервере с которого другой домен хочет что-либо получить, в заголовок вписывать домены которые доверены. Это если ты про междоменное доверие) Иваныч, ну это же позёрство чистой воды... Я говорила о доверии между сервисами (портал — форум), а он отвечает про настройки браузера. Браузер ничего не запрещает, если настроен Cookie Syncing или Cross-Domain Tracking, которые и используются для проброса сессии. 14 минуты назад пользователь PENDALF_MODERATE сказал: А если про OpenID по которому ты на этот форум входишь, оно к междоменному доверию никак не относится. Сервер авторизации шлёт пакет аутентификации на любой домен! И любой домен его примет. То есть, по твоему убеждению, OpenID не имеет белых списков? Ты сейчас описываешь механизм как критическую уязвимость. Можно без ужастиков на ночь? Мне хочется спать спокойно... Ошибаться можно. Врать нельзя! Ссылка на комментарий
PENDALF_MODERATE Опубликовано: 10 мая Игроки 611 публикация 514 боёв Поделиться Опубликовано: 10 мая (изменено) 5 часов назад пользователь Lady_Gerliona сказал: Иваныч, ну это же позёрство чистой воды... Я говорила о доверии между сервисами (портал — форум), а он отвечает про настройки браузера. Браузер ничего не запрещает, если настроен Cookie Syncing или Cross-Domain Tracking, которые и используются для проброса сессии. То есть, по твоему убеждению, OpenID не имеет белых списков? Ты сейчас описываешь механизм как критическую уязвимость. Можно без ужастиков на ночь? Мне хочется спать спокойно... Позёрство у тебя. если браузерами ничего не запрещено, то тогда не нужно было бы серверам, которые на кросс доменный обмен ориентированы, в заголовках ничего прописывать. Ну или в браузере отключать запрет на кросс-доменный обмен.(Same-Origin Policy, SOP) Заголовки то на сервере, а не в браузере, прописываются. Моё убенждение на практическом опыте основано. Этот опенид от Лесты куда угодно вкрутить не проблема. единственно что, тебе сайт авторизации Лесты будет писать, что ты переходишь на сторонний ресурс, блаблабла, может быть фишинговым сайтом, блаблабла, могут украсть ваши данные но пароля и ничего другого Леста не передаёт. В общем вброс в неокрепшие мозги. Пароль то она и не должна передавать, а вот всё остальное, включая номер телефона - передаёт! Повторюсь - на любой домен! Изменено 10 мая пользователем PENDALF_MODERATE Родился 4 сентября 1972 года. Ссылка на комментарий
PENDALF_MODERATE Опубликовано: 10 мая Игроки 611 публикация 514 боёв Поделиться Опубликовано: 10 мая (изменено) Кстати, ещё раз повторюсь. Сама Леста на сайте авторизации пишет , что логин и пароль - конфеденциальная информация. Третим лицам не должна передаваться. А сама на право и налево логины шлёт. Раньше просто мыло одно логином было, теперь и телефон) Для аутентификации логин не нужен абсолютно, как и пароль. Но если сайт авторизации Лесты попросить тебе выслать мыло и телефон юзверя который на твоём сайте аутентификацию через сервис авторизации Лесты проходит - она вышлет! Это всего пара строчек в гет запросе. Если их не указывать то не вышлет, если указать, то всё сделает автоматически. Изменено 10 мая пользователем PENDALF_MODERATE Родился 4 сентября 1972 года. Ссылка на комментарий
PENDALF_MODERATE Опубликовано: 10 мая Игроки 611 публикация 514 боёв Поделиться Опубликовано: 10 мая (изменено) Если не веришь, или не знаешь, специально для тебя скрипт могу написать и на каком хосте его выложить, чтобы ты прошла с него авторизацию у Лестиы и после неё сервис авторизации редирект обратно тебе выдал - он тебе всё наглядно покажет, что передал сайт авторизации. Подробно весь пакет распишет - выведет на экран. С приёмом никаких проблем) OpenID версии 1.0 - от которого давно многие отказались, из-за существенной уязвимости в самой схеме его аутентификации, кстати коговоря. Как и от хеша SHA1 , которым Леста по сей день подписывает своё послание) Ни в гугле, ни в яндексе такого давно нет. Там более совершенная аутентификация давно стоит. Скрипт рабочий, можешь сама на какой хост его поставить, хоть на локальный. Вдруг свой номер телефона забудешь или наоборот, телефон помнишь, а адрес электронной почты потеряла - сервис авторизации тебе всё пришлёт. Считай облачный сервис по хранению адресов почт и номеров телефонов Изменено 10 мая пользователем PENDALF_MODERATE Родился 4 сентября 1972 года. Ссылка на комментарий
PENDALF_MODERATE Опубликовано: 10 мая Игроки 611 публикация 514 боёв Поделиться Опубликовано: 10 мая Алиса в шоке. Ей код и ответ на запрос выдал , она мне написала Возможные проблемы и рекомендации Проблемы: SHA‑1 устарел — рекомендуется заменить на SHA‑256/512 или bcrypt/scrypt. Родился 4 сентября 1972 года. Ссылка на комментарий
PENDALF_MODERATE Опубликовано: 10 мая Игроки 611 публикация 514 боёв Поделиться Опубликовано: 10 мая (изменено) Хочу заметить. Алиса о протоколе OpenID версии 1.0 пишет в прошедшем времени Уязвимость к фишинговым атакам Один из ключевых недостатков OpenID 1.0 — уязвимость к фишингу. Злоумышленники могли подменять URL провайдера OpenID (OP), направляя пользователя на поддельный сайт, который внешне выглядел как легитимный. Например, вместо www.livejournal.com/openid/server.bml пользователь мог быть перенаправлен на www.livejournal.com/openid/server.bml?lot_of_junk@evilcats.example.com. В таком случае пользователь вводил логин и пароль от OP на прокси-сервере злоумышленника, и эти данные попадали в его лог. Отсутствие стандартизированных механизмов защиты В спецификации OpenID 1.0 не было чётких требований к алгоритмам шифрования или методам аутентификации на стороне провайдера. Протокол полагался на то, что провайдер сам реализует защиту, но не задавал стандартов для этого. Например, не было обязательного использования HTTPS или механизмов подписи сообщений для всех сценариев. Также в OpenID 1.0 не предусматривался механизм обмена информацией о профиле пользователя, что могло приводить к недостаточной проверке данных при аутентификации. Проблемы с конфиденциальностью Параметры аутентификации в OpenID передавались через URL-параметры, которые не шифровались. Это означало, что идентификатор пользователя (openid.identity) и другие данные могли быть видны любому, кто имел доступ к полным URL-адресам запросов или ответов. Например, эти данные могли попасть в поле HTTP Referer, что создавало риск утечки конфиденциальной информации. Логические недостатки В исследовательских работах 2012 года указывались логические недостатки в OpenID, которые позволяли злоумышленникам обходить аутентификацию. Например, была обнаружена уязвимость, при которой злоумышленник мог подделать запрос OpenID, не запрашивая адрес электронной почты пользователя, а затем вставить неподписанный адрес в ответ провайдера. Если сайт-получатель не проверял подпись этого атрибута, злоумышленник мог войти в систему с любой локальной учётной записью. Вкратце, всё что нужно знать о таком "мощном" протоколе (о котором весь интернет в прошедшем времени пишет), который юзает Леста. Изменено 10 мая пользователем PENDALF_MODERATE Родился 4 сентября 1972 года. Ссылка на комментарий
PENDALF_MODERATE Опубликовано: 10 мая Игроки 611 публикация 514 боёв Поделиться Опубликовано: 10 мая (изменено) Из личных исследований. С чужой локальной записью тут только на форуме аутентифицироваться можно. Но для этого надо поработать на хешем подписи SHA-1 - без подписи форум не заглотит левый никнейм, почту и прочие данные которые сервер авторизации передаёт. Но то что он передаёт мыло с телефоном и при этом пишет, что это конфиденциальная информация, или что эта информация им передана не будет(в случае со сторонним ресурсом) - по моему это перебор. Передаёт всё и при чём в открытом виде! Ввод пользователей в заблуждение. Как тут любит один модератор говорить Изменено 10 мая пользователем PENDALF_MODERATE Родился 4 сентября 1972 года. Ссылка на комментарий
nPoCTo_urPalO Опубликовано: 10 мая Игроки 2 391 публикация 13 067 боёв Поделиться Опубликовано: 10 мая 9 часов назад пользователь COH_BOPOHA сказал: а этот форум? Он же постоянно трясётся и форумная авторизация переключается совершенно отдельно от всех лестовских сервисов, и прогружается постоянно через ошибку, что если это из-за форума? Читая темы, уже начинаю склоняться к мысли, что дело реально в глюке системы. Что и немудрено при таких спецах, которые не то что сами создать форум не смогли, но и обеспечить его нормальную работу (даже в части форматирования) не в состоянии. 9 часов назад пользователь PENDALF_MODERATE сказал: На форуме нет никакой авторизации. Тут только аутентификация. Авторизация на сайте авторизации Лесты только. если ты авторизовался на сайте авторизации Лесты - вошёл в свой аккаунт там, то на форуме ты просто аутентифицировался. Да ***, как там это называется технически и какими средствами реализовано. Тут форум простых игроков, а не кодеров и т.п. При ошибке выдаётся: "Сервис АВТОРИЗАЦИИ временно недоступен" - вот все его так и называют. Опрос по железу >>>>> Последний раз был в бою: 17.05.2026 19:45 Ссылка на комментарий
Lady_Gerliona Опубликовано: 10 мая Игроки 442 публикации 933 боя Поделиться Опубликовано: 10 мая 3 часа назад пользователь PENDALF_MODERATE сказал: Позёрство у тебя. 3 часа назад пользователь PENDALF_MODERATE сказал: а вот всё остальное, включая номер телефона - передаёт! Повторюсь - на любой домен! Иваныч, а чего не звонят тогда? Ошибаться можно. Врать нельзя! Ссылка на комментарий
PENDALF_MODERATE Опубликовано: 10 мая Игроки 611 публикация 514 боёв Поделиться Опубликовано: 10 мая (изменено) 1 час назад пользователь Lady_Gerliona сказал: Иваныч, а чего не звонят тогда? Мне не звонят потому что у меня вместо телефонов номера сим карт от роутера прописаны. На них невозможно позвонить. До кучи ещё они не в роутере сейчас, а лежат и ждут своего времени. Жди. Должны позвонить обязательно. Типа "вас беспокоит ваш оператор мобильной связи. Ваш тариф заканчивается, вы будете продливать? Для этого сейчас вам придёт СМС сообщение с номера 900 - дайте мне код". Типа такого. Как деньги с карты все списаны будут, после звонков таких или подобных - отпишись. Самый безобидный вариант, это если тебе типа стоматологи или юристы звонить будут. Или по купле - продаже недвижимости или просто СМС какие. Не переживай. Твой номер телефона для теле-спамеров, нужен и важен! Они не пройдут мимо такой халявы. Изменено 10 мая пользователем PENDALF_MODERATE Родился 4 сентября 1972 года. Ссылка на комментарий
Lady_Gerliona Опубликовано: 10 мая Игроки 442 публикации 933 боя Поделиться Опубликовано: 10 мая 2 минуты назад пользователь PENDALF_MODERATE сказал: Мне не звонят потому что у меня вместо телефонов номера сим карт от роутера прописаны. На них невозможно позвонить. До кучи ещё они не в роутере сейчас, а лежат и ждут своего времени. Жди. Должны позвонить обязательно. Типа "вас беспокоит ваш оператор мобильной связи. Ваш тариф заканчивается, вы будете продливать? Для этого сейчас вам придёт СМС сообщение с номера 900 - дайте мне код". Типа такого. Как деньги с карты все списаны будут, после звонком - отпишись. Да ну, ты чего... Какие-то старые схемы, про которые любая бабуля у подъезда знает. Так даже не интересно, если честно. Скучно же и однообразно. Ошибаться можно. Врать нельзя! Ссылка на комментарий
Рекомендованные публикации