Сервер && Telegram

[Logan22]

"ботоводил" в телеграме и мне пришла такая интересная идея.

Не секрет что на сайтах серверов где нет нормальной капчи и нет префикса брутят сильно.
Однако для обычного игрока огромная проблема ввод капчи и запоминание префиксов, неудобно, - говорю как игрок, да ещё и юзать почту свою для каких либо манипуляций.
От этого всего можно эффективно избавиться!
Отпадет нужна в капчах, авторизации, не нужен будет префикс, э.майлах и даже непосредственно сама панель авторизации!

Спойлер: Начну с авторизации!!!

Для авторизации пользователю достаточно будет через телеграм отправить сообщение об авторизации... - без логина и пароля.
Так как в этом нет необходимости.
В ответ в чат пользователь мгновенно получит временную ссылку на сайт для авторизации (гет ссылка из себя будет представлять некие шифрованные параметры, пример:

Вы не можете просматривать ссылку пожалуйста воспользуйтесь следующими ссылками Вход или Регистрация

), после перехода пользователь получит сессию (не спрашивайте как мы его идентифицируем, все просто) и переадресовываем в личный кабинет.
И никаких капч, ввода логинов, паролей!

Спойлер: Про префиксы...

• Как же так... если отказаться от префиксов будут брутить через клиент! Так мистер Логан22 ?
• Да, будут.

Я занимался и брутом сайта и через клиент, через форум, по этому да, префикс прекрасная защита (и отличный геморрой пользователя)... однако, чтоб брутить надо иметь уже базу логинов и паролей реальных игроков! - Не зная логина и пароля брут будет дольше чем поиски жизни на Марсе.
Как вы помните,

Вы не можете просматривать ссылку пожалуйста воспользуйтесь следующими ссылками Вход или Регистрация

, от сотен серверов, кто-то слил скинул, где-то мне удалось... база была огромнейшая и содержала десятки миллионов юзеров.
Это можно восстановить, при регистрации (можно тем же ajax'ом проверять) чекаем логин и пароль по БД. Если есть и логин и пароль то категорически запрещаем использовать и такой пароль и такой логин, и уведомляем что его данные были деанонимизированы. Если только логин имеется в базах, заставляем пользователя указать пароль по грубее.

Спойлер: Отказ от э.почты...

Уйма людей юзает mail.ru - это параша ещё та... не мне вам об этом говорить!
На сайте оставить 2 из трех способов регистрации аккаунта.

1. Регистрация используя код активации через бота телеграма
2. Полная регистрация через телеграм (с двумя возможностями, быстрая и расширенная, разница в том что при быстрой не надо указывать аккаунт, будет взять телеграмовский)
   
3. Самая обычная почтовая регистрация

Спойлер: В чем же ещё печеньки?

Чем больше людей получиться "зателеграмить", тем больше можно иметь живых пользователей, которым одним махом можно будет отправить сообщения о старте сервера, о скидках на донат если в течении N времени закажет получит бонус и всё в этом роде.
Э.почты никто не читает, у меня там более 10.000 непрочитанных писем.

Вы наверное видели сервера где используют при регистрации номер телефона с отправкой туда СМС, мы делаем практически тоже самое, к тому же имеем надежную защиту, никаких трат на СМС и возможность оповещать игроков.

Так что скажете присяжные ?

P.S. Для любителей трАлить: Великие умы обсуждают идеи. Средние умы обсуждают события. Мелкие умы обсуждают людей.

Пример

 

[Desquire]

Хм, как по мне идея огонь)
Но блин не у всех есть телефон с телеграммом...
Надо будет как-то мотивировать использовать его, вместо стандартной почты

На счет брута не во всем согласен:
1. есть уже овер много баз ( если раньше брутам занимался то знаешь)
Игроки ленивые, им лень придумывать новый пароль.
Я все жизнь юзал пароль в л2 1qaz2wsx он быстро вводится с клавы, и не забывается, если его юзать везде,
Но для каждого сервера делал новый логин. ( взломов не было)
2. На сайте капча будет необходимо, сам знаешь почему ( брут через сайт в разы быстрей)
конечно если не замутить что-то типо токенов для формы, которые генерируются при рендере страницы.
3. Если через клиент сделать чуть более базовой зашиты ( чтобы шлако бруты типо 1.5 и 2.0 не работали хотя бы)
То можно и не париться.


Хотя про брут все относительно.
Мне кажется сейчас уже вообще почти не брутят такими хардкорными методами.

 

[Logan22]

Но блин не у всех есть телефон с телеграммом...

У меня телеграм и на телефоне, и на ноутбуке (где 2 ОС и там и там телеграм).

 

[Desquire]

У меня телеграм и на телефоне, и на ноутбуке (где 2 ОС и там и там телеграм).

У меня телефон его позволяет поставить, но зачем мне париться, если можно по классике через емейл?
Стимул должен быть. игроки ленивые жопы ( я тоже)

 

[Logan22]

У меня телефон его позволяет поставить, но зачем мне париться, если можно по классике через емейл?
Стимул должен быть. игроки ленивые жопы ( я тоже)

Под каждую рыбку надо найти свой крючок.
Старый метод с мылом достаточно назойливый, регистрироваться->заходить на мыло->искать письмо в входящих, потом в спаме -> заходить в письмо->переходить по ссылке и т.д.
Но плюсы для заманухи элементарны.

• Отсутствие каких либо капч
• Авторизация/Регистрация/Восстановление 1 кликом
• ЛК по мгновенной ссылке
  
• Подписка на события (к примеру время респа Антараса, Нубл РБ, захват замка ("Не пропусти сегодня в 20:00 будет захват Адена"), начало ивента - это конечно надо серверную часть дополнить.
• При регистрации с телеграма дает больше бонусов на старте (соски, доп. деньги, больше слотов под баф, коины)
• Ненужно иметь мыло
• Мыло не попадет в базы для спама
• Друзей и соклановцев можно добавлять в друзья в телеграмме из игры 1 кнопкой (я не уверен что одной, но теоретически представляю как это можно сделать)
• У сервера есть свой канал

Хотя про брут все относительно.
Мне кажется сейчас уже вообще почти не брутят такими хардкорными методами.

Про 1 и 2 написано в первом сообщении. Но ещё раз.
1. Аккаунты+Пароли которые засветились уже где-то, не регистрировать их.
Вот пример когда регать такой акк и пасс строго запрещено

В 2011 или 12 году, мне перепала бд ЗГ и удалось хацкнуть хеши 90% юзеров там. Помню админы там принудительно пароли меняли всем.
Собирать такие базы достаточно трудно, и мне уже никогда не удастся собрать те базы которые были.
Следует придумать новый способ пополнения таких баз (у меня есть одна идейка в уме), либо отказаться от данной идеи.
2.Сама форма авторизации - отсутствует, следовательно брутить просто нечего.

 

[Desquire]

2.Сама форма авторизации - отсутствует, следовательно брутить просто нечего

Вообще идея огонь.
Если запретить пароли которые уже используются - тоже огонь. ( есть минусы)
Но если не будет простой возможности - что будут делать юзеры с телефонами 3310 ? )

А так, если будет демка или типо того, с удовольствием поставлю телеграмм чтобы потестить и помочь с чем-то.

На счет используется пароль или нет

 

[Heartless]

Оффтоп:

что будут делать юзеры с телефонами 3310 ? )

Норм всё будет с ними

 

[Logan22]

Немного ещё докину.

 

[kick]

Статистика это уже бред

 

[Logan22]

Статистика это уже бред

Почему?
Статистика это одна из форм ознакомления с сервером.
Как уже сказал Desquire, надо чтоб пользователю было выгодно его использовать.
Сайты работает не регулярны, DDoS атаки или ещё худе взломы веб обвязок (что довольно не редкость), в таком случае пользователь не может получить какую либо информацию из сайта.
Заддосить бота без IP не выйдет, его IP не светиться нигде. Стоимость разместить бота на сервере менее 100 руб.
Это отличная альтернатива, а я люблю когда функционал большой.

 

[0wn3d]

Ставлю 100 рублей что не взлетит это все.

 

[Desquire]

Ставлю 100 рублей что не взлетит это все.

Как основной метод лк нет, как второй то почему бы и нет.
Давать ништяки при реги с телеграмма, и будет ок.
Или если регались не с телеграмма, то взломы не рассматривать.

 

[0wn3d]

Как основной метод лк нет, как второй то почему бы и нет.
Давать ништяки при реги с телеграмма, и будет ок.(менять свою любимую вафлю на андрюшку или пидарфон ради 2-х зассаных коинов никто не будет.)
Или если регались не с телеграмма, то взломы не рассматривать.(Онли это).

 

[Desquire]

(менять свою любимую вафлю на андрюшку или пидарфон ради 2-х зассаных коинов никто не будет.)

В плане стимулировать регаться тех, у кого есть телефон, а не стимулировать покупать телефон.

 

[Logan22]

Час от часу продолжаю эту затею ;-)

Появилась конфигурация (config.ini) где устанавливаются параметры для подключением к БД (БД для телеграмма, БД логина сервера, БД гейма).
=============
Регистрация!
Если ник более 14 символов регистрируем пациента, занято? - уменьшаем до 11 и добавляем ещё рандом от 0 до 999 символа, добавляется суфикс две цифры.
Если все аккаунты в течении N (20) попыток не удалось зарегистрировать (заняты), предлогаем пользователю расширенной регистрации с указанием логина.
// Скорее всего в будущем доработаю, символы с ника будут уменьшаться по мере попыток зарегистрировать!
При расширенной регистрации, если логин длинный (более 14 сим.) обрезается до 14.
Если пользователь ввел что-то не так (не указал пароль), просим его указать данные ещё раз.
=============
Выполнена функция двух регистрация (быстрой - только пароль, расширенной - логин и пароль).
ФИКС: При регистрации нельзя начинать писать команды (/start, /fullreg ...), если прописать команду произойдет вызов команды с соответствующим переходом.
=============
В консоли выводится информация действий, принятой информации от пользователя.
=============
Все записи пользователей логируются
=============
В конфиг выставлена возможность устанавливать метод хеширования пароля (sha1, whirlpool)
=============
Поддержка кроссплатформенности. На Linux и Windows проверено, работает.

 

[Se1dhe]

Положения не будет ?

 

[Logan22]

Положения не будет ?

не, я поигрался и закинул.