Регистрация
Регистрация Поиск Пользователи Все разделы прочитаны  
CGM > Покер > Около покерного стола
Опции темы

Новый скандал с безопасностью на ultimate bet/absolute poker

Важные объявления
Старый 07.05.2010, 14:30     TS Старый   #1 (permalink)
Увлечённый
 
Аватар для maasea
 
Регистрация: 08.06.2009
Адрес: Петербург
Сообщений: 568
[Зарегистрироваться?]

выяснилось, что их сеть использует не SSL-шифрование, как все остальные, а свою систему кодировки, которую "можно взломать при помощи калькулятора".

опасность того, что кто-то станет смотреть ваши карты ничтожно мала, конечно, но вот просниффать трафик вашего провайдера на предмет паролей от рума сможет любой толковый технический работник, увлекающийся покером ну а на уровне провайдера, обслуживающего саму сеть cereus можно завладеть информацией вообще обо всех аккаунтах.

реакция ultimate bet [Зарегистрироваться?]
maasea вне форума      
Старый 07.05.2010, 14:39   #2 (permalink)
Интересующийся
 
Аватар для direct3d
 
Регистрация: 28.12.2007
Адрес: Minsk
Сообщений: 97
Была фигня одна. Играл я нл50 6-макс год назад на AP. Мне сдали на батоне QQ. В итоге на префлопе CO лимп, я рэйз, CO колл, блайнды пасс. Флоп 953 радуга. CO чек , я делаю ставку 2\3 пота, CO ИНСТА-фолд с показом карт JJ!
direct3d вне форума      
Старый 07.05.2010, 14:43     TS Старый   #3 (permalink)
Увлечённый
 
Аватар для maasea
 
Регистрация: 08.06.2009
Адрес: Петербург
Сообщений: 568
2 недели назад еще появился топик на 2+2 о том, что в ху-снг в их сети стало видно все сфолженные руки.
maasea вне форума      
Старый 07.05.2010, 18:54   #4 (permalink)
Энтузиаст
 
Аватар для Dowid
 
Регистрация: 07.03.2009
Адрес: BY/USA
Сообщений: 373
Серебряный кубок 
Видимо мало платили программистам, вот и хромает секьюрити. Дырявые клиенты не только у careus.
Недавно сам был в шоке когда воспользовался системой напоминания пароля в RedKings и мне прислали пароль в открытом виде. а вы говорите ssl.
Dowid вне форума      
Старый 07.05.2010, 19:49   #5 (permalink)
Заблокирован
 
Регистрация: 27.04.2008
Адрес: Санкт-Петербург
Сообщений: 660
Цитата:
Сообщение от Dowid Посмотреть сообщение
Видимо мало платили программистам, вот и хромает секьюрити. Дырявые клиенты не только у careus.
Недавно сам был в шоке когда воспользовался системой напоминания пароля в RedKings и мне прислали пароль в открытом виде. а вы говорите ssl.
а что это значит поясни плиз
Katar вне форума      
Старый 07.05.2010, 20:13   #6 (permalink)
Старожил
 
Регистрация: 30.07.2006
Адрес: burlington
Сообщений: 870
Цитата:
Сообщение от Katar Посмотреть сообщение
а что это значит поясни плиз
Это значит что пароль возможно хранится в базе данных провайдера услуг в незашифрованном виде, а значит любой кто взломает базу данных провайдера получит доступ ко всем счетам автоматически. При нормальной системе безопасности, пасворд низнает никто кроме хозяина. Даже провайдер услуг, так как в его базе он зашифрован и практически не подается расшифровке за вменяемые деньги. Ну и плюс сам емэйл злоумышленники могут прочитать/перехватить.
Но это не обязательно так. Иногда бывает, что провайдер присылает временный пароль, который действует только для одного логина, и требует обезательной замены. Новый же пассворд попадает в базу зашифрованным.
Wonkon вне форума      
Старый 07.05.2010, 20:59   #7 (permalink)
Заблокирован
 
Регистрация: 27.04.2008
Адрес: Санкт-Петербург
Сообщений: 660
Цитата:
Сообщение от Wonkon Посмотреть сообщение
Это значит что пароль возможно хранится в базе данных провайдера услуг в незашифрованном виде, а значит любой кто взломает базу данных провайдера получит доступ ко всем счетам автоматически. При нормальной системе безопасности, пасворд низнает никто кроме хозяина. Даже провайдер услуг, так как в его базе он зашифрован и практически не подается расшифровке за вменяемые деньги. Ну и плюс сам емэйл злоумышленники могут прочитать/перехватить.
Но это не обязательно так. Иногда бывает, что провайдер присылает временный пароль, который действует только для одного логина, и требует обезательной замены. Новый же пассворд попадает в базу зашифрованным.
спасибо, но все равно не очень понятно. Dowid написал что прислали пароль в открытом виде, собственно это меня и заинтересовало, а как его еще могут прислать если ты его востанавливаешь на мыло? И это не означает что они хранятся у них в открытом виде. Вообще не думаю что в онгейме они хранятся в открытом виде.

Про временный пароль тоже интересно. Я так понимаю когда логинишься со временным паролем то на свой счет не заходишь а выскакивает окно с предложением смены пароля, и если ты отказываешься менять то доступа к счету не получаешь. Поправь если не так и доступ к счету все равно получаешь. И также - если сменить временный пароль на такой же то прокатит или нет?
Katar вне форума      
Старый 07.05.2010, 21:19   #8 (permalink)
Энтузиаст
 
Аватар для abre
 
Регистрация: 04.03.2009
Сообщений: 377
Цитата:
Сообщение от Katar Посмотреть сообщение
спасибо, но все равно не очень понятно. Dowid написал что прислали пароль в открытом виде, собственно это меня и заинтересовало, а как его еще могут прислать если ты его востанавливаешь на мыло? И это не означает что они хранятся у них в открытом виде. Вообще не думаю что в онгейме они хранятся в открытом виде.
Это значит, что он хранится в виде, который легко подвергается расшифровке, если сам рум может его тебе выслать. Это дыра в безопасности, причем приличная.

В нормальных системах хранится не сам пароль, а т.н. хеш от него. Зная хеш пароль восстановить невозможно, поэтому пароль всегда при утере меняется.
abre вне форума      
Старый 12.05.2010, 11:37   #9 (permalink)
Энтузиаст
 
Аватар для Dowid
 
Регистрация: 07.03.2009
Адрес: BY/USA
Сообщений: 373
Серебряный кубок 
Все верно, НЕ хранить пароль в открытом виде это самый НАЧАЛЬНЫЙ уровень безопасности. В любой приличной системе пароль нельзя вспомнить, его можно только скинуть.
Dowid вне форума      
Старый 12.05.2010, 21:55   #10 (permalink)
Бессмертный
 
Регистрация: 18.10.2007
Адрес: Москва
Сообщений: 2,840
Katar, имеется в виду, что вместо пароля должна была придти ссылка, пройдя по которой можно сбросить старый и установить новый пароль.

Но все равно, все это весьма неустойчиво, так как главное опасение — данные при пересылке в незашифрованном виде становятся доступны третьим лицам — никуда не исчезает. Это третье лицо может воспользоваться той же ссылкой и установить свой пароль быстрее хозяина акка.

Поэтому в "нормальных системах" существуют еще и пины или устройства доступа, кроме паролей, для тех, кто всерьез заботится о безопасности акка.
Active1 вне форума      
Старый 13.05.2010, 04:02   #11 (permalink)
Бессмертный
 
Регистрация: 14.07.2006
Адрес: Moscow
Сообщений: 4,908
Отправить сообщение для hiNt с помощью ICQ
нда, это ж насколько людям должно быть пох на игроков своей сети, просто жесть
hiNt вне форума      
Старый 13.05.2010, 06:16   #12 (permalink)
Увлечённый
 
Регистрация: 03.11.2006
Адрес: Donetsk
Сообщений: 455
Dowid, они прислали тебе твой старый пароль в открытом виде?
Если это так, это не "приличная дыра в безопасности" - это просто полный ПИ3DE^!

Katar, если пароль хранится в системе в открытом виде, то это просто НЕ система безопасности. Любой, кто имеет доступ к базе, может видеть твой пароль, даже какой-нить менеджер из суппорта.

Железный принцип - система безопасности вообще не должна знать твой пароль, поэтому обычно хранится хеш пароля - некоторый код, получаемый из твоего пароля функцией хеширования (см. матан) Фхеширования(твой_пароль)=хеш_код_твоего пароля. Таким образом, когда ты вводишь свой пароль при логине, снова вычисляется хеш_код_твоего пароля и сравнивается с тем, что хранится в базе. Причем математически это реализовано так, что Фхеширования вычисляется быстро, а обратная функция (дехешировать хеш в пароль) оч. долго - в идеале перебором.

Соответственно, даже если злоумышленник подсмотрел в базе твои даные, пароля твоего он не узнает, если это конечно не qwerty или 123 или что-то в таком духе, для чего хеш можно заранее посчитать (зная конкретную реализацию, используемую софтом) и сравнить "на глаз". Это еще делается и в тех целях, чтоб пользователь не светил никому пароль (даже суперпупер админу ресурса) на тот случай, если он использует 1 сложный пароль для многих ресурсов (что все равно плохо) или использует какой-то принцип при построении пароля (например определенная трансформация логина), что опять же позволит узнать его пароли от других ресурсов.

Второй вывод - при нормальной реализации тебе не могут физически прислать твой пароль - у них хранится только его хеш код. Поэтому или шлют ссылку по которой ты можешь без логина зайти в смену пароля к своему акку или генерируют новый, временный пароль (в базу соответственно попадает новый хеш код) и шлют тебе, чтоб ты быстренько залогинился и сменил его на известный только тебе.

Третий вывод - если тебе прислали твой старый пароль (хоть в открытую, хоть прошептали на мобилу) - значит там нет системы безопасности, там - проходной двор.

П.С. Извиняюсь за много букв.
p1366 вне форума      
Старый 13.05.2010, 23:03   #13 (permalink)
Энтузиаст
 
Аватар для Dowid
 
Регистрация: 07.03.2009
Адрес: BY/USA
Сообщений: 373
Серебряный кубок 
Цитата:
Сообщение от p1366 Посмотреть сообщение
Dowid, они прислали тебе твой старый пароль в открытом виде?
Если это так, это не "приличная дыра в безопасности" - это просто полный ПИ3DE^!
Все верно, мне прислали на почту мой старый забытый пароль. Желающие могут проверить воспользовавшись системой восстановления пароля на Redkings.
Для восстановления пароля ДОСТАТОЧНО ввести email с которого регистрировался и на это мыло придет старый пароль, под которым можно войти в систему. Его даже не рекомендуют менять.

Про полный П.. согласен.
Dowid вне форума      
Старый 14.05.2010, 02:32   #14 (permalink)
Увлечённый
 
Регистрация: 03.11.2006
Адрес: Donetsk
Сообщений: 455
Нда, в РедКингз - ни ногой(с)
Я тут давече в одной из витрин боссмедии регистрировался, ограничение на пароль 6-8 символов - и то напрягся.

Действительно, остается только удивляться насколько пох людям, владеющим немаленьким бизнесом, на безопасность.

П.С. Вообще, покерный софт весьма удивляет - часто густо убогий дизайн и отвратное юзабилити, при том что от этого зависят их доходы. Да еще и проблемы с безопасностью.
p1366 вне форума      
Старый 14.05.2010, 04:02   #15 (permalink)
Заблокирован
 
Регистрация: 27.04.2008
Адрес: Санкт-Петербург
Сообщений: 660
Да уж, раздолбайство еще то
Katar вне форума      
Старый 14.05.2010, 19:58   #16 (permalink)
Интересующийся
 
Аватар для direct3d
 
Регистрация: 28.12.2007
Адрес: Minsk
Сообщений: 97
Вот есоч про пароли на Пацифик покере. Сегодня общался с саппортом, в итоге пароль я им не называл.

Hero: Hi, How muck rake do i need accumulate to release my 100 bonus dollars at my account ?
.....
Shian: could you also confirm the first 2 characters of your password please?
Hero: Its security violence to ask password
Hero: So answer please my question
Hero: How muck rake do i need accumulate to release my 100 bonus dollars at my account ?
Shian: I am sorry Hero but it is policy that we ask for the first two characters of your password to verify the owner of the account. I am not asking you for your full password.
Hero: I refuse
Hero: i later write via email without any passwords
Shian: no worries. please confirm your full address Hero
.....
Shian: Thank you so much for providing the details Hero.
....
direct3d вне форума      
Старый 14.05.2010, 21:14   #17 (permalink)
Бессмертный
 
Аватар для Gerda
 
Регистрация: 09.01.2008
Адрес: Екатеринбург
Сообщений: 2,912
OMG
2 первых символа пароля только
это стандарт
Gerda вне форума      
Старый 15.05.2010, 00:39     TS Старый   #18 (permalink)
Увлечённый
 
Аватар для maasea
 
Регистрация: 08.06.2009
Адрес: Петербург
Сообщений: 568
история с ub/ap продолжается: вчера они заявили, что внедряют open ssl шифрование, но PTR заявили, что всё осталось по-прежнему - пароли от аккаунтов (ну и карты сдающиеся) до сих пор можно получить простым сниффингом трафика, доступ к компьютеру жертвы не требуется.
maasea вне форума      
Старый 15.05.2010, 01:30   #19 (permalink)
Заблокирован
 
Регистрация: 10.10.2009
Сообщений: 1,030
*ля.. надо выводить деньги.. жесть кака-то..

насчёт редкингс-это только там или во всём онгее?
sqsq вне форума      
Старый 15.05.2010, 01:34     TS Старый   #20 (permalink)
Увлечённый
 
Аватар для maasea
 
Регистрация: 08.06.2009
Адрес: Петербург
Сообщений: 568
Цитата:
Сообщение от sqsq Посмотреть сообщение
насчёт редкингс-это только там или во всём онгее?
то что у них в базе хранится пароль в открытом виде по большому счету никак на его сохранность не влияет, они ж не форум любительский какой-нибудь. если кто-то и получит доступ к базе аккаунтов онгейма, то явно пароли игроков им не понадобятся, можно не волноваться
вот то, что его высылают по имейлу - плохо, но если не запрашивать, то и не пришлют.
maasea вне форума      

Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Одному из основателей Absolute Poker вынесли приговор / Новый документальный фильм Ultimate Beat -LOKI- Новости, статьи, репортажи.. 0 26.07.2012 02:05
Ultimate bet + Absolute poker Swen Около покерного стола 6 21.01.2009 19:12
Absolute poker большой скандал? Или НАГЛАЯ ЛОЖЬ! Diadushka Около покерного стола 11 17.12.2007 06:14
Грандиозный скандал на Absolute Poker ilushan Многостоловые турниры 5 18.10.2007 21:45


Опции темы

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.
Trackbacks are Выкл.
Pingbacks are Выкл.
Refbacks are Выкл.

Быстрый переход
Правила форумов CGM Контакты Справка Обратная связь CGM.ru Архив Вверх Главная
 
Использование материалов сайта разрешено только при наличии активной ссылки на источник.
Все права на картинки и тексты принадлежат Информационному агентству CGM и их ПАРТНЕРАМ. Политика конфидециальности
CGM.ru на Youtube CGM.ru на Google+ CGM.ru в Twitter CGM.ru на Facebook CGM.ru в vKontakte CGM.ru в Instagram

В сотрудничестве с Pokeroff.ru
Текущее время: 13:58. Часовой пояс GMT +3.
Powered by vBulletin® Version 3.8.7
Copyright ©2000 - 2022, vBulletin Solutions, Inc. Перевод: zCarot