Сказка навсегда остановлена.
Мы безмерно благодарны каждому из вас за время, которое вы подарили нашей игре, истории, которые вы создали, поддержку, которую оказывали друг другу и нам.
Надеемся, Сказка останется светлым и добрым воспоминанием в вашей жизни, и вы будете вспоминать наши приключения с улыбкой.
Это были замечательные тринадцать лет. Спасибо вам за них.
С любовью, команда Сказки.
|
GenToo
|
|
без гильдии
могущество: 1719
мужчина
Горыныч
52 уровня
|
Собственно изменил из профиля регистрационную почту и пароль, и был немало удивлен отсутствием подтверждения с адреса старой почты.
То есть имея валидные учетные данные для входа в игру потенциальный злоумышленник легко и непринужденно перехватывает полный контроль над аккаунтом. Понятно что пока проект не настолько большой чтобы сильно волноваться по этому поводу, но в перспективе подтверждение со старой почты необходимо.
Сообщение изменено
|
|
Hamster
|
|
без гильдии
могущество: 5163
длань судьбы
гоблин
Джеаки
102 уровня
|
К старой почте может быть утерян доступ, а вот подтверждение старым паролем, думаю, нужно.
|
|
Silent Wrangler
|
|
[ϟ]
Командор
могущество: 17420
длань судьбы
гоблин
Наивеличайший Выдумщик Генджис
131 уровня
|
Если войти смог, то старый пароль-то уж точно известен)
А вот второй пароль, нигде более не использованный, подойдёт. Типа "ключа для редактирования аккаунта". В профиде ставишь галочку, пишешь другой пароль, и изменять данные, как то: смена имени, почты, предпочтений итп, мржно будет олько после разблокировки.
|
|
Hamster
|
|
без гильдии
могущество: 5163
длань судьбы
гоблин
Джеаки
102 уровня
|
Silent WranglerЕсли войти смог, то старый пароль-то уж точно известен)
А вот второй пароль, нигде более не использованный, подойдёт. Типа “ключа для редактирования аккаунта”. В профиде ставишь галочку, пишешь другой пароль, и изменять данные, как то: смена имени, почты, предпочтений итп, мржно будет олько после разблокировки.
Войти можно и без знания пароля...
|
|
Silent Wrangler
|
|
[ϟ]
Командор
могущество: 17420
длань судьбы
гоблин
Наивеличайший Выдумщик Генджис
131 уровня
|
Да, но надеяться на то, что его не знают - глупо.
Это как сбросить врага в проппсть неизвнстной глубины - может быть, он и погиб, но точно этого ты не знаешь.
|
|
Migel
|
|
без гильдии
могущество: 9495
длань судьбы
орк
Yellow Horror
199 уровня
|
Silent WranglerА вот второй пароль, нигде более не использованный, подойдёт. Типа “ключа для редактирования аккаунта”.
Тогда уж лучше "секретный вопрос", а не ещё один пароль. Тот, которым постоянно не пользуешься, потерять гораздо проще.
|
|
Silent Wrangler
|
|
[ϟ]
Командор
могущество: 17420
длань судьбы
гоблин
Наивеличайший Выдумщик Генджис
131 уровня
|
То же самое. Текстовое значение, необходимое для разблокировки.
Хотя да, подсказка потребоваться может.
|
|
Hamster
|
|
без гильдии
могущество: 5163
длань судьбы
гоблин
Джеаки
102 уровня
|
Silent WranglerДа, но надеяться на то, что его не знают - глупо. Да как раз наоборот. Куки, например, увести проще, чем пароль. А секретный вопрос, второй пароль (а что, кто-то еще честно ставит секретный вопрос и ответ на него, а не набор знаков? Вроде ж логично никоим образом не связывать вопрос-ответ) - тоже не панацея, пока https нет.
|
|
Tiendil
|
|
[НБ]
Магистр
могущество: 14696
разработчик
дварф
Халлр
106 уровня
|
О таких проблемах разработчики, конечно помнят.
Проверять старую почту считаю неправильным, т.к. при её потере автоматически теряются все сервисы, привязанные к ней таким образом. Имхо, порочная практика, особенно, учитывая павальную моду на параноидальные правила безопасности, восстановить что-то по которым почти нереально. Тем более, что вероятность похищения почты я бы оценил выше, чем вероятность похищения аккаунта в нашей игрушке :-)
Все важные действия, конечно, надо защищать вводом пароля. Кстати, доступ в аккаунт обычно получают пароля не зная (воруют сессию), поэтому такая защита вполне надёжна. И, конечно, секретные вопросы тоже нужны. Но делаться это будет тогда, когда появится объективная необходимость.
|
|
Migel
|
|
без гильдии
могущество: 9495
длань судьбы
орк
Yellow Horror
199 уровня
|
TiendilНо делаться это будет тогда, когда появится объективная необходимость.
После первого массового угона аккаунтов?
|
|
GenToo
|
|
без гильдии
могущество: 1719
мужчина
Горыныч
52 уровня
|
Tiendil
Как вариант сделать подтверждение со старой почты опциональным для желающих. Мне кажется шанс потери почты гугла с двухфакторной авторизацией довольно мал. Чего не скажешь о всяческих контрольных вопорсах/допполнительных паролях/куках и.т.д.
Дело в том что без обвеса дополнительными сторонними плагинами/клиентами интерфейс сказки далек от совершенства. А использование упомянутых улучшателей интерфеса предоставляет их авторам полный доступ к аккаунту.
ps: не скажу что это меня сильно волнует, так как понимаю масштаб проэкта. Но в перспективе хотелось бы чтобы игрокам не приходилось задумываться о том можно-ли доверять тому или иному плагину или приложению, а просто играть в игру.
|
|
Tiendil
|
|
[НБ]
Магистр
могущество: 14696
разработчик
дварф
Халлр
106 уровня
|
MigelПосле первого массового угона аккаунтов?
Не думаю, что 1-ый угон будет массовым :-) Если у нас вдруг появится столько игроков, то делать доп. защиту будем сразу и займётся этим отдельно нанятый человек. Но наличие фактов угонов может стать критерием. GenTooкажется шанс потери почты гугла с двухфакторной авторизацией довольно мал.
Не гуглом единым. Защита — это такая вещь, которую каждый делает в меру своего разумения, а оно очень разным бывает. Я с такой забавной логикой сталкивался… Поэтому будем стараться не завязываться на сторонние сервисы.
|
Чат
