[Pytanie] Dlaczego ludzie są tak nieodpowiedzialni?

[Ducal]

Witajcie. Jestem bardzo poirytowany nieodpowiedzialnym zachowaniem niektórych pseudo "Adminów" prywatnych polskich serwerów mt2. Denerwuje mnie, że dzieciak, który jest na garnuszku bogatych rodziców, stawia serwer nie mając zielonego pojęcia o jego prowadzeniu. Kupił serwer, zna kilka komend gm, pościągał gotowe pliki, bazę, questy, i co najgorsze, ZARABIA JESZCZE NA TYM!!! Chce wam coś uświadomić. Połowa tych polskich "dedyków" jest niezabezpieczona. Niby nic takiego wielkiego prawda? A jednak chcę wam UŚWIADOMIĆ jak WY jesteście zagrożeni grając na takim serwerze również niezbyt odpowiedzialnie.

 

Załóżmy. Na przykładowym serwerze, którego nazwy nie podam, jest założone ok 7000 kont. Każdy, za pomocą zwykłego WINDOWSA, może wejść w bazę poprzez BlindSqlInjection. Co za tym idzie? W ciągu 20 min pobiera całą zakładkę account - w praktyce wystarczą tylko kolumny login, password, email. Oczywiście, hasła są szyfrowane w mysql, ale 60% z tych 7000 haseł znajduje się w ogólnodostępnym w wujku google decrypterze, ok 80% w dobrych własnych zasobach (osób które się zajmują takimi atakami na codzień). Daje sobie ręke uciąć, że duża ilość osób grających na takim serwerze posiada te same hasła i loginy do innych serwerów np: metin2pl, ale co najważniejsze - hasła również do skrzynek pocztowych (których adresy znajdują się po zalogowanie na stronie priv serwera)!!! Oczywiście BlindSqlInjection to jedna z niewielu form uzyskiwania danych z serwerów - ale moim zdaniem podstawowa dziura do załatania. Ludzie!!! Takie ataki były na fali jakieś 3-4 lata temu, a nadal popełniacie ten sam błąd przy robieniu web.

 

Tak więc chciałbym zachęcić wszystkich adminów - nie spieszyć się nigdy z otworzeniem serwera, można przez to samemu wiele stracić - a co gorsze, narazić swoich "klientów" na okropne straty oraz problemy. Najpierw pożądny test nie samego świata gry - tylko zabezpieczeń.

 

GRACZE!!!! ZMIENIAJCIE CZĘSTO HASŁA!!!!