Безопасность игры рассматривалась в 3 направлениях: xss (Cross Site Scripting),
удаленное управление игроком с помощью java-скрипт и подделка cookies.
1. Cookies
Cookies формируются в формате
au=311949; luid=311949; uid=311949; up=******; bp=******
Где первые 3 значения номер персонажа, значения абсолютно неважные. И
оставшиеся
2 значения генерируются случайным образом при каждом входе, поэтому не могут
быть подделаны. Возможность перехвата с помощью сниффера также не была найдена,
об этом позже, посколько это связано с xss.
2. Java-script
Здесь ситуация несколько другая, найдено пару ошибок.
Прежде всего оговорюсь что из себя представляет атака – вы заходите на сайт,
заранее подготовленный злоумышленником, и без вашего ведома выполняют какие-то
действия.
Рассмотрим эти действия отдельно.
1. Перевод предметов
Невозможен, из-за 2 причин:1) Пароль на передачу предметов, но если он не
установлен то 2) запрос на перевод предмета следующий:
http://www.gwars.io/home.senditem.php?item=1&item_tag=rogatka&iuid=********

На месте звездочек опять же генерируется случайное число, которое не позволяет
хакеру перевести предмет. Деньги аналогично.
2.Вход в бой
Невозможен, опять же из-за генерации случайного числа в запросе.

Из недостатков: 1) Возможно удаленно двигать персонажа по карте.
2) Возможно сделать ставку в казино.(Разорить или обогатить врага =) ).
3. Покупка предметов
Естественно невозможно, случайное число.

3. XSS

Исследование сайта на предмет XSS не дал результатов. В форме регистрации, ни
одно поле не пропускает запрещенных символов. Чат и форум не воспринимает
скриптом.
Даже поле пароля отфильтровывает запрещенные знаки! Из-за невозможности XSS,
невозможен перехват сессии игрока и подделки его cookies.

Как мы видим из этого обзора безопасность игры ganjawars находится на очень
высоком уровне. Играть в ganjawars не только интересно, но и безопасно.
_______________
Ещё просьба удалить моего мульта kotila, я наконец-то вспомнил пароль от своего
перса. И удалить копию этой
темы:http://www.gwars.io/messages.php?fid=30&tid=4250

Ну и к чему тема?
Это уже раз 50-100 перетирали на форуме, а может и поболее.

В общем смысл один:
Проктер энд Гембл, мы заботимся о вас и о вашем здоровье. =)

лучше промолчу, потому что исследование сделано на, скажем, 15% видимого
айсберга...
если приводить доводы и говорить о методах атаки, то это может стать пищей для
размышления потенциального взломщика.

в бан и на кол!

1
про это уже написано выше
уточнение: генерируется случайно только одно значение (up)
значение bp основано на введённом пароле

кстати, написать на форуме неприличную надпись без ведома автора :) ещё пока
возможно

6
Знаю на этом был основал известный флудер =)

3
угу. молчи. мозг)

1. я вот курил только что... ниче не понял из сказанного %)