login Wm-login — skrypt na logowanie

to pewnie przez pomyłkę

szczerze mówiąc, przydałoby się również dodać to, że jeśli jest jeden gracz o tym samym nicku to wtedy by wywalało osobę która próbuje sie włamać.

40 minut temu, Jowiszek napisał:

mam nadzieję że nie będzie pan zły jeśli zmienię autora skryptu oraz nazwę (Autora i nazwę moge zostawić jakby co)

Moim zdaniem to co napisałeś jest kompletną głupotą, w jaki sposób chcesz zmienić autora? Jeżeli chodzi ci o to, że będziesz się podszywał pod autora to nie wydaje mi się żeby to było etyczne a jeżeli chcesz zmienić  autora w dosłownym znaczeniu, w jaki sposób chcesz to zrobić? Nie ma się czego śmiać bo widzę ze autor tego tematu czyni skrypt lepszy i stosuje się do uwag które znajduje w komentarzach. Życzę powodzenia autorowi tematu w dalszym rozwijaniu tego skryptu i pozdrawiam 

Co do wait 14 days to poprostu przez przypadek wkleiłem ze schowka wersję, która była w trakcie roboty i bardzo przepraszam

----------
I właśnie co masz na myśli Jowiszek?

co do wiadomości w chatbox to słusznie

Wiadomosć:
 

Cytat

Zapewne autor owego skryptu to przeczyta, ale myślę, że i tak na dobre mu to wyjdzie. Ten Pan nie wie na co się porywa i ile rozwiązań musi zaimplementować, aby zapewnić dostatecznie wysoki poziom bezpieczeństwa

---------------------------------
Ja jak na swój wiek bardzo dobrze ogarniam HTML i CSS

W dniu 7.05.2024 o 17:54, Jowiszek napisał:

szczerze mówiąc, przydałoby się również dodać to, że jeśli jest jeden gracz o tym samym nicku to wtedy by wywalało osobę która próbuje sie włamać.

no ale to jest zrobione w samym serwerze, że gdy ktoś z nickiem, który jest na serwerze spróbuje dołączyć to nie da rady

-----------------------------
Czy zapisywanie Ipv4 gracza w autologin powinno rozwiązać sprawę innego routera?

Jeśli ktoś chce poznać mój wiek to mogę wysłać bardzo trudne działanie matematyczne, a znajomość wieku po obliczeniu prosiłbym wtedy zachować dla siebie.

51 minut temu, milonn napisał:

co do wiadomości w chatbox to słusznie

Doceniam pozytywny odbiór z Pana strony. Przestrzegam jednak przed tym, że stworzenie wysoce bezpiecznego mechanizmu logowania wymaga niepowierzchownej wiedzy z zakresu kryptografii (ja jej z pewnością nie posiadam). Musi się Pan więc przygotować na kilkanaście godzin dobrej lektury i poszukiwania informacji ze sprawdzonych źródeł. Jednym z nich jest strona, do której wcześniej podałem link.

Postarałem się jedynie naprowadzić Pana na dobre rozwiązania. Proszę jeszcze raz przeczytać od początku wszystko to co ja, jak i inni użytkownicy pisali.
Na koniec powiem jedno. Bezpieczeństwo haseł to dla Pana najwyższy priorytet, proszę o tym nie zapominać. Wszelkie estetyczne modyfikacje i te mające na celu optymalizację skryptu (o ile nie są krytyczne) mogą poczekać.

56 minut temu, milonn napisał:

Ja jak na swój wiek bardzo dobrze ogarniam HTML i CSS

To dobrze, ale nie do końca rozumiem jak to ma się do rozwoju Pana skryptu. Może Pan rozwinąć ten temat?

dla mnie skript jest od HTML i CSS o wiele łatwiejszy, więc uważam, że jak na mój wiek umiem te 2 języki programowania bardzo dobrze

31 minut temu, milonn napisał:

Czy zapisywanie Ipv4 gracza w autologin powinno rozwiązać sprawę innego routera?

Nie rozumiem zbytnio pytania. Adres IP (w domyśle mówimy o IPv4) jest tym, co może ulec zmianie przy chociażby resecie routera.
Rzecz jasna to nie jest jedyna możliwa przyczyna. Ktoś może mieć zmienny adres IP (uznajmy, że do tej kategorii zalicza się internet mobilny), ktoś może używać proxy, ktoś może używać VPN.

Tłumaczyłem już wcześniej jak Pan może zapewnić wyłączanie autologinu w przypadku zmiany adresu IP gracza.

35 minut temu, milonn napisał:

Jeśli ktoś chce poznać mój wiek to mogę wysłać bardzo trudne działanie matematyczne, a znajomość wieku po obliczeniu prosiłbym wtedy zachować dla siebie.

Spokojnie, ja Pana wyręczę.

Im(sqrt(-196)) - tg(pi/4)

14 minut temu, milonn napisał:

dla mnie skript jest od HTML i CSS o wiele łatwiejszy, więc uważam, że jak na mój wiek umiem te 2 języki programowania bardzo dobrze

W porządku, rozumiem.

ja miałem na myśli mój

Działanie:
(sqrt[4]^(Log2[3sqrt[512]^8])/2^(Log2[8^8]))*(sqrt[100]+(sqrt[sqrt16]-1+sqrt[10^2]))-(64509+1/4)*4

Reasumując wszystkie aspekty kwintesencji tematu, dochodzę do fundamentalnej konkluzji - nie warto używać tego skryptu. Istnieją już zabezpieczone pluginy które potrafią w logowanie. Sam skript jest pod pewnymi aspektami ograniczony. Jeżeli w jakiś sposób chcesz dołożyć cegiełkę do zabezpieczeń to stwórz secure code czy coś tego typu, jak dwuetapowe zabezpieczenie.

W dniu 7.05.2024 o 19:09, milonn napisał:

no ale to jest zrobione w samym serwerze, że gdy ktoś z nickiem, który jest na serwerze spróbuje dołączyć to nie da rady

No własnie nie jest. Wtedy wywala gracza który aktualnie jest na serverze, a połącza włamywacza (jeśli właściciel konta nie wszedł jeszcze raz)

dobrze, zrobię to

no powiem tak ze jak ktos zapomnie hasla to tak konoslka musi sie zalogowac/zarejestrowac a nie da sie a ni tego a ni tego wiec no juz 1- a po 2 nie mozna wpisywac zadnej komendy w konosli i no jagby jest takie cos ze te np /wm-lg-admin to tez nie zbytnio ja bym poprawil na /logowanie np forcereg itd a nie

chyba znalazłem tekst, którego zhashowanego nie da się odgadnąć przy pomocy hash crackerów

25 minut temu, milonn napisał:

chyba znalazłem tekst, którego zhashowanego nie da się odgadnąć przy pomocy hash crackerów

Wedle mojej wiedzy hash cracker polega na przygotowanej wcześniej skończonej bazie danych (tablicy) zawierającej najpopularniejsze hasła wraz z ich hashami. Jako wartość wejściową dla funkcji hash możemy podać dowolnie długi ciąg dowolnych znaków (w przypadku SHA-256 ograniczenie 2^64 - 1 bitów to bardzo, bardzo dużo), a więc praktycznie istnieje niemalże nieskończenie wiele możliwych wartości wejściowych. Unikalnych wartości wyjściowych (hashów) dla algorytmu SHA-256 istnieje natomiast 16^32, czyli 2^256, jednak jest to również wartość, której nie sposób pojąć przeciętnemu człowiekowi.

Większość takich baz przechowuje zwykle ponad miliard haseł wraz z ich hashami, a ludzka wyobraźnia jest ograniczona. Niemniej jednak, pesymistyczny wariant 10 miliardów w obliczu 2^256 to właściwie nic.

Update R1!!!
R1 - Release 1

15 minut temu, milonn napisał:

Update R1!!!
R1 - Release 1

Z tego co widzę, proces rozwoju skryptu powoli postępuje w dobrym kierunku. Pomimo tego, mam kilka uwag i pytań, którymi chcę się z Panem podzielić.

1. Nie zastosował się Pan do moich uwag w moim pierwszym poście, gdyż nadal dostrzegam te same błędy i niezrozumiałe operacje.

2. Proszę pamiętać o tym, że wszelkie operacje mogące spowodować choćby chwilowe wstrzymanie pracy serwera, powinny być wykonywane poza głównym wątkiem serwera jeśli to tylko możliwe. Mowa oczywiście o pobieraniu tekstu ze strony internetowej, ponieważ Pan wykonuje ów kod synchronicznie.
Rozwiązania tego problemu istnieją dwa:

• zastosowanie instrukcji '$ thread' pochodzącej z SkQuery,
• utworzenie sekcji i asynchroniczne wykonanie jej przy pomocy dodatku skript-reflect.

3. Zastanawiający jest dla mnie poniższy fragment kodu.

on connect:
	if player is online:
		kick player due to "&{@Kolor błędu} Ten gracz jest już na tym serwerze!"

Czy to działa jak należy? Podejrzewam, że niepoprawnym jest założenie iż dwóch graczy z tą samą nazwą to dokładnie te dwa same obiekty graczy. Na Pana miejscu raczej bym napisał tak jak poniżej.

on connect:
	set {_p} to "%player%" parsed as player
	{_p} is online
	kick [...]

Pytam, gdyż nigdy nie musiałem rozwiązywać tego typu problemów, ponieważ zdecydowanie lepiej jest mieć serwer działający w trybie online. Zresztą, nie wiadomo czy gracz obecny na serwerze jest wyrzucany już przy wyzwoleniu kodu zdarzenia 'on connect', czy też 'on join'. Jeśli przy tym pierwszym gracz obecny na serwerze jest rozłączany, Pan nie ma na to wpływu.

4. Drobna sugestia z mojej strony - może Pan zastąpić dwa warunki sprawdzające długość hasła jednym warunkiem.

length of message is between {@minPassword} and {@maxPassword}
# Dalszy kod...

5. Zalecam nie używać polskich znaków w skrypcie poza tekstem i komentarzami. Jest to naruszenie pewnych szeroko pojętych programistycznych konwencji, a poza tym nie wiadomo czy taki kod na pewno zawsze dobrze zadziała. Głównie chodzi o to pierwsze, ściślej mówiąc, schludność kodu.

Pozdrawiam.

W dniu 4.05.2024 o 12:35, Kormic napisał:

Ja rozumiem Pana działanie i po przemyśleniu sprawy zgadzam się z Panem. Po prostu pokazałem drugą stronę medalu takiego rozwiązania i fakt, że takie podejście w przypadku graczy ze zmiennym IP tworzy w konsekwencji wiele niepotrzebnych zmiennych w bazie.

Na Pana miejscu stworzyłbym jakąś zmienną gracza zapisująca adres IP, na którym się ostatnio logował na serwer (na przykład 'set {autoLogin::%player's uuid%} to player's ip').
Jeśli przy dołączeniu adres jest inny niż ostatnio, autologin nie następuje. Wtedy zmienna od autologinu będzie posiadała w nazwie tylko UUID gracza, a zapisywanie w nazwie dodatkowo adresu IP będzie już niepotrzebne.

Zrobiłem to, muszę dopisać do listy zmian, bo wcześniej zapomniałem.

W dniu 19.05.2024 o 23:38, Kormic napisał:

4. Drobna sugestia z mojej strony - może Pan zastąpić dwa warunki sprawdzające długość hasła jednym warunkiem.

length of message is between {@minPassword} and {@maxPassword}
# Dalszy kod...

Spróbuję tak zrobić, ale z tego co widzę to jest pomiędzy, a nie łącznie z minimalnym i maksymalnym.

W dniu 8.05.2024 o 23:16, Jowiszek napisał:

No własnie nie jest. Wtedy wywala gracza który aktualnie jest na serverze, a połącza włamywacza (jeśli właściciel konta nie wszedł jeszcze raz)

A to nie tak, że kickowanie gracza z tym samym nickiem działa na poziomie silnika? Rozwiązanie to po prostu ustawić online-mode na true, lecz wtedy ten skrypt nie miał by sensu XD.
+ przydałoby się przetestować skrypt w warunkach serwera proxy - taka moja sugestia.

10 godzin temu, milonn napisał:

Zrobiłem to, muszę dopisać do listy zmian, bo wcześniej zapomniałem.

W porządku, nie ma najmniejszego problemu.

10 godzin temu, milonn napisał:

Spróbuję tak zrobić, ale z tego co widzę to jest pomiędzy, a nie łącznie z minimalnym i maksymalnym.

Jestem niemalże pewien, że warunek 'is between' definiuje przedział obustronnie domknięty. Jednak jeśli Pan mi nie wierzy, może Pan samemu to przetestować.

1 godzinę temu, polsatgraniepl napisał:

A to nie tak, że kickowanie gracza z tym samym nickiem działa na poziomie silnika? Rozwiązanie to po prostu ustawić online-mode na true, lecz wtedy ten skrypt nie miał by sensu XD.
+ przydałoby się przetestować skrypt w warunkach serwera proxy - taka moja sugestia.

Właśnie tak jest. Dlatego zasugerowałem wyżej sprawdzenie czy ostatnio dodane zabezpieczenie w skrypcie działa poprawnie (a zwłaszcza czy w ogóle działa).

Co do sensu skryptu, ja go postrzegam jako jedną z wielu prób uczynienia trybu offline równie bezpiecznym co tryb online, choć jest to niezwykle trudne, a koszty rozwoju dobrego mechanizmu zabezpieczeń niejednokrotnie przekraczają cenę zakupu kopii Minecrafta.

Pozdrawiam.

Po pewnym czasie myślenia doszedłem do wniosku, że lepiej przed wydaniem wersji R2 przejrzeć cały kod od zera, a nawet przed wydaniem każdej kolejnej wersji