Помогите Воровство сессии и дальнейшая подмена.

Всем доброго времени суток.
Как избавится от кражи и подмены сессии ?
Воруют сессию программой , а потом через батник используют, и обходят защиту сервера.
Ну а потом ставят что хотят, и МобАуры и Икс Реи и чит клиенты.
Как от этого избавится ?
Как защититься от подмены сессии ?
Защитить сессию или же проверку постоянную сделать ( слышал на каком то сервере сессию проверяет и после входа ).
Помогите кто может пожалуйста.
Используется лаунчер сашка.

 

Наиболее защищенным будет обнуление сессии с проверкой сессии на существование.

Код:

$qq = mysql_query("Select session From dle_users Where name='$user'") or die ("Bad login!");
if (mysql_fetch_array($qq)="") die ("Bad Login");

Если сессия в БД длиной 0 символов, то на сервер не пустит.
Это даже лучше, чем перегенерация сессии.

 

Это поможет только когда игрок нм разу не заходил

 

Если это так, то как же защитится от подмены сессии ?

 

Шифровать её ,если у тебя лаунчер Сашка ,то он шифрует только при авторизации ,а надо ещё и при заходе на сервер ,то бишь шифровать путём редактирования клиента

 

Launcher.php
Это:

Код:

mysql_query("UPDATE $db_table SET $db_columnSesId='$sessid' WHERE $db_columnUser = '$login'") or die (mysql_error());

Заменить на это:

Код:

$stamp = time()+60;
mysql_query("UPDATE $db_table SET $db_columnSesId='$sessid' and timestamp='$stamp' WHERE $db_columnUser = '$login'") or die (mysql_error());

В Joinserver.php после $serverid = mysql_real_escape_string($_GET['serverId']);

Код:

$query=mysql_query("select timestamp from $db_table where $db_columnUser='$user'") or die ("Хрен");
if (time()>mysql_result($query)) die ("Время сессии вышло!!!");

Если прошло 60 секунд после авторизации, то сессия недействительна

 

Вот это ты дал.
А что если машина слабая, клиент грузится пол часа?
А что если за 60 секунд я успею поставить чит клиент?)

 

Как уже было сказано шифрование сессии в клиенте.

 

А что мешает её убрать?

 

ЛОЛ тебя тупо не пустит тогда . Уберет он.

 

А ничего, так же как ничего не мешает убрать проверку папки модс и мд5.

 

ЛОЛка ну вот смотри. В клиенте шифруется sessionId и serverId вместе. serverId каждый рас меняется следовательно подменять ты не смоешь. Потому что отсылается все 1 строкой data= . Даже если ты изменишь и подсунешь верный data= тебя кикнет ибо serverId не совпадет.

 

Я не хочу вникать в этот метод, ибо я всегда вырезаю защиту да и всё.

 

Это не поможет в таком случае.

 

ты шифруешь сессию в клиенте и что?
я просто вырезаю защиту из лаунчера и запускаю ваш же лаунчер, который просто теперь верит что мд5 совпадает и в папке с модами нет ничего лишнего.

 

насмешил лаунчер обфусцирован и сессия шифруется в нем. Соберешь левый сессия не совпадет. Свой я тебе не дам на hil.su тренируйся :trf:.

 

Расскажите мне на нормальном русском языке, что говорит этот парень?
Ничего не понимаю.

 

Это сложно для мелких)

 

А вообще есть метод для особо продвинутых какиров - собираешь свою OpenJDK , с подменой функции получения md5. Ибо нельзя просто так доверять JVM.
(Вот только приходится под каждый лаунчер свою JVM собирать, а лаунчер W4P свою таскает.)

 

Примем на заметку чтоб лаунчер свою качал .