Сервер && Telegram

Logan22

Гений мысли
Проверенный
Знаток Lineage2
Орден Почета
Мастер реакций
Любитель реакций
Знаток письма
Медаль Благодарности
Старожил I степени
Медаль за активность на Форуме
За заслуги перед форумом
Преподаватель
За веру и верность форуму
Сообщения
1 638
Розыгрыши
0
Решения
3
Репутация
1 747
Реакции
1 481
Баллы
1 808
"ботоводил" в телеграме и мне пришла такая интересная идея.

Не секрет что на сайтах серверов где нет нормальной капчи и нет префикса брутят сильно.
Однако для обычного игрока огромная проблема ввод капчи и запоминание префиксов, неудобно, - говорю как игрок, да ещё и юзать почту свою для каких либо манипуляций.
От этого всего можно эффективно избавиться!
Отпадет нужна в капчах, авторизации, не нужен будет префикс, э.майлах и даже непосредственно сама панель авторизации!


Для авторизации пользователю достаточно будет через телеграм отправить сообщение об авторизации... - без логина и пароля.
Так как в этом нет необходимости.
В ответ в чат пользователь мгновенно получит временную ссылку на сайт для авторизации (гет ссылка из себя будет представлять некие шифрованные параметры, пример: ), после перехода пользователь получит сессию (не спрашивайте как мы его идентифицируем, все просто) и переадресовываем в личный кабинет.
И никаких капч, ввода логинов, паролей!

  • Как же так... если отказаться от префиксов будут брутить через клиент! Так мистер Логан22 ?
  • Да, будут.
Я занимался и брутом сайта и через клиент, через форум, по этому да, префикс прекрасная защита (и отличный геморрой пользователя)... однако, чтоб брутить надо иметь уже базу логинов и паролей реальных игроков! - Не зная логина и пароля брут будет дольше чем поиски жизни на Марсе.
Как вы помните, , от сотен серверов, кто-то слил скинул, где-то мне удалось... база была огромнейшая и содержала десятки миллионов юзеров.
Это можно восстановить, при регистрации (можно тем же ajax'ом проверять) чекаем логин и пароль по БД. Если есть и логин и пароль то категорически запрещаем использовать и такой пароль и такой логин, и уведомляем что его данные были деанонимизированы. Если только логин имеется в базах, заставляем пользователя указать пароль по грубее.

Уйма людей юзает mail.ru - это параша ещё та... не мне вам об этом говорить!
На сайте оставить 2 из трех способов регистрации аккаунта.
  1. Регистрация используя код активации через бота телеграма
  2. Полная регистрация через телеграм (с двумя возможностями, быстрая и расширенная, разница в том что при быстрой не надо указывать аккаунт, будет взять телеграмовский)
  3. Самая обычная почтовая регистрация

Чем больше людей получиться "зателеграмить", тем больше можно иметь живых пользователей, которым одним махом можно будет отправить сообщения о старте сервера, о скидках на донат если в течении N времени закажет получит бонус и всё в этом роде.
Э.почты никто не читает, у меня там более 10.000 непрочитанных писем.

Вы наверное видели сервера где используют при регистрации номер телефона с отправкой туда СМС, мы делаем практически тоже самое, к тому же имеем надежную защиту, никаких трат на СМС и возможность оповещать игроков.

Так что скажете присяжные ?

P.S. Для любителей трАлить: Великие умы обсуждают идеи. Средние умы обсуждают события. Мелкие умы обсуждают людей.

Пример
upload_2017-2-27_10-5-59.png
 
Последнее редактирование модератором:

Хм, как по мне идея огонь)
Но блин не у всех есть телефон с телеграммом...
Надо будет как-то мотивировать использовать его, вместо стандартной почты

На счет брута не во всем согласен:
1. есть уже овер много баз ( если раньше брутам занимался то знаешь)
Игроки ленивые, им лень придумывать новый пароль.
Я все жизнь юзал пароль в л2 1qaz2wsx он быстро вводится с клавы, и не забывается, если его юзать везде,
Но для каждого сервера делал новый логин. ( взломов не было)
2. На сайте капча будет необходимо, сам знаешь почему ( брут через сайт в разы быстрей)
конечно если не замутить что-то типо токенов для формы, которые генерируются при рендере страницы.
3. Если через клиент сделать чуть более базовой зашиты ( чтобы шлако бруты типо 1.5 и 2.0 не работали хотя бы)
То можно и не париться.


Хотя про брут все относительно.
Мне кажется сейчас уже вообще почти не брутят такими хардкорными методами.
 
У меня телеграм и на телефоне, и на ноутбуке (где 2 ОС и там и там телеграм).
У меня телефон его позволяет поставить, но зачем мне париться, если можно по классике через емейл?
Стимул должен быть. игроки ленивые жопы ( я тоже)
 
У меня телефон его позволяет поставить, но зачем мне париться, если можно по классике через емейл?
Стимул должен быть. игроки ленивые жопы ( я тоже)
Под каждую рыбку надо найти свой крючок.
Старый метод с мылом достаточно назойливый, регистрироваться->заходить на мыло->искать письмо в входящих, потом в спаме -> заходить в письмо->переходить по ссылке и т.д.
Но плюсы для заманухи элементарны.
  • Отсутствие каких либо капч
  • Авторизация/Регистрация/Восстановление 1 кликом
  • ЛК по мгновенной ссылке
  • Подписка на события (к примеру время респа Антараса, Нубл РБ, захват замка ("Не пропусти сегодня в 20:00 будет захват Адена"), начало ивента - это конечно надо серверную часть дополнить.
  • При регистрации с телеграма дает больше бонусов на старте (соски, доп. деньги, больше слотов под баф, коины)
  • Ненужно иметь мыло
  • Мыло не попадет в базы для спама
  • Друзей и соклановцев можно добавлять в друзья в телеграмме из игры 1 кнопкой (я не уверен что одной, но теоретически представляю как это можно сделать)
  • У сервера есть свой канал
Хотя про брут все относительно.
Мне кажется сейчас уже вообще почти не брутят такими хардкорными методами.
Про 1 и 2 написано в первом сообщении. Но ещё раз.
1. Аккаунты+Пароли которые засветились уже где-то, не регистрировать их.
Вот пример когда регать такой акк и пасс строго запрещено :)
upload_2017-2-27_12-29-30.png upload_2017-2-27_12-38-51.png upload_2017-2-27_12-42-30.png
В 2011 или 12 году, мне перепала бд ЗГ и удалось хацкнуть хеши 90% юзеров там. Помню админы там принудительно пароли меняли всем.
Собирать такие базы достаточно трудно, и мне уже никогда не удастся собрать те базы которые были.
Следует придумать новый способ пополнения таких баз (у меня есть одна идейка в уме), либо отказаться от данной идеи.
2.Сама форма авторизации - отсутствует, следовательно брутить просто нечего.
 
2.Сама форма авторизации - отсутствует, следовательно брутить просто нечего
Вообще идея огонь.
Если запретить пароли которые уже используются - тоже огонь. ( есть минусы)
Но если не будет простой возможности - что будут делать юзеры с телефонами 3310 ? )

А так, если будет демка или типо того, с удовольствием поставлю телеграмм чтобы потестить и помочь с чем-то.

На счет используется пароль или нет
Скрытое содержимое для пользователя(ей): Logan22
 
Последнее редактирование:
Немного ещё докину.
upload_2017-2-28_9-0-20.png
upload_2017-2-28_9-30-40.png

upload_2017-2-28_12-11-55.png
 
Последнее редактирование:
Статистика это уже бред :)
 
Статистика это уже бред :)
Почему?
Статистика это одна из форм ознакомления с сервером.
Как уже сказал Desquire, надо чтоб пользователю было выгодно его использовать.
Сайты работает не регулярны, DDoS атаки или ещё худе взломы веб обвязок (что довольно не редкость), в таком случае пользователь не может получить какую либо информацию из сайта.
Заддосить бота без IP не выйдет, его IP не светиться нигде. Стоимость разместить бота на сервере менее 100 руб.
Это отличная альтернатива, а я люблю когда функционал большой. :)
 
Обратите внимание, что данный пользователь заблокирован! Не совершайте с ним никаких сделок! Перейдите в его профиль, чтобы узнать причину блокировки.
Ставлю 100 рублей что не взлетит это все.
 
Ставлю 100 рублей что не взлетит это все.
Как основной метод лк нет, как второй то почему бы и нет.
Давать ништяки при реги с телеграмма, и будет ок.
Или если регались не с телеграмма, то взломы не рассматривать.
 
Обратите внимание, что данный пользователь заблокирован! Не совершайте с ним никаких сделок! Перейдите в его профиль, чтобы узнать причину блокировки.
Как основной метод лк нет, как второй то почему бы и нет.
Давать ништяки при реги с телеграмма, и будет ок.(менять свою любимую вафлю на андрюшку или пидарфон ради 2-х зассаных коинов никто не будет.)
Или если регались не с телеграмма, то взломы не рассматривать.(Онли это).
 
0wn3d написал(а):
(менять свою любимую вафлю на андрюшку или пидарфон ради 2-х зассаных коинов никто не будет.)
В плане стимулировать регаться тех, у кого есть телефон, а не стимулировать покупать телефон.
 
Час от часу продолжаю эту затею ;-)

Появилась конфигурация (config.ini) где устанавливаются параметры для подключением к БД (БД для телеграмма, БД логина сервера, БД гейма).
=============
Регистрация!
Если ник более 14 символов регистрируем пациента, занято? - уменьшаем до 11 и добавляем ещё рандом от 0 до 999 символа, добавляется суфикс две цифры.
Если все аккаунты в течении N (20) попыток не удалось зарегистрировать (заняты), предлогаем пользователю расширенной регистрации с указанием логина.
// Скорее всего в будущем доработаю, символы с ника будут уменьшаться по мере попыток зарегистрировать!
При расширенной регистрации, если логин длинный (более 14 сим.) обрезается до 14.
Если пользователь ввел что-то не так (не указал пароль), просим его указать данные ещё раз.
=============
Выполнена функция двух регистрация (быстрой - только пароль, расширенной - логин и пароль).
ФИКС: При регистрации нельзя начинать писать команды (/start, /fullreg ...), если прописать команду произойдет вызов команды с соответствующим переходом.
=============
В консоли выводится информация действий, принятой информации от пользователя.
=============
Все записи пользователей логируются
=============
В конфиг выставлена возможность устанавливать метод хеширования пароля (sha1, whirlpool)
=============
Поддержка кроссплатформенности. На Linux и Windows проверено, работает.
upload_2017-3-5_6-2-23.png
 
Последнее редактирование:
Положения не будет ?
 
Назад
Сверху Снизу