Идея Система зашиты от читеров

Можно немного усложнить задачу взломщикам, передавать мд5 и всё остальные параметры через https или можно своих костылей наворотить (вручную формировать пакеты и слать на сервер, но это для мозговитых уже).

 

можно даже на простых $_GET запросах сделать защиту!

используя шифрование с ключом например RC4.
и формировать запросы так:

$key = "888555222";

$x = rc4($key, $login||$pass||$session)
....../file.php?x=$x

и на веб сервере обрабатывать так:

$key = "888555222";

$x = $_GET["x"];
$x = rc4($key, $x)
list($login, $pass, $session) = explode("||", $x);
// теперь можно использовать переменные: $login, $pass, $session

 

самая убогая шифровка) быстро разгадывается)

 

Тут уже вопрос сколько сил вы готовы вложить в написание защиты для своего сервера, и сколько будет стоить разработка обхода, если 95% людей отсеятся уже неплохо, 1 читер не так сильно будет мешать, проблема когда их много

 

почему убогая?
объясни свой ответ!

если я запишу ключ в лаунчер, ты хочешь сказать что сможешь его узнать?

раскодируй эту строчку: 4CR8SFigewbH314eqyk=

$key = ?
$string = ?

Спойлер: RC4

function rc4($key, $str) {
$s = array();
for ($i = 0; $i < 256; $i++) {
$s[$i] = $i;
}
$j = 0;
for ($i = 0; $i < 256; $i++) {
$j = ($j + $s[$i] + ord($key[$i % strlen($key)])) % 256;
$x = $s[$i];
$s[$i] = $s[$j];
$s[$j] = $x;
}
$i = 0;
$j = 0;
$res = '';
for ($y = 0; $y < strlen($str); $y++) {
$i = ($i + 1) % 256;
$j = ($j + $s[$i]) % 256;
$x = $s[$i];
$s[$i] = $s[$j];
$s[$j] = $x;
$res .= $str[$y] ^ chr($s[($s[$i] + $s[$j]) % 256]);
}
return $res;
}

порядок декодирования: base64_decode(rc4($key, $string))

 

вот так вот просто не раскодирую. а если в лаунчере, то возможно. тут хрен знает, что зашифровано. а если оно в лаунчере, то можно по подбирать запросы. делать запросы с разными никами и паролями. ведь по сути нужен не ключ, а массив символов, чтобы вместо $res .= $str[$y] ^ chr($s[($s[$i] + $s[$j]) % 256]);
делать $res .= $str[$y] ^ $key[$y]; почти весь алгоритм - превращение ключа в другой ключ. этот другой ключ можно получить самому из зашифрованного и предполагаемого расшифрованного запроса.

 

вот как это делается:

 

чтот не получилось.Bad Login пишет.

 

значит это система авторизации как в купленном майнкрафте, тоже легко обходится но по другому, надо обычный лаунчер модифицировать.

 

Проблема.Когда уже узнал свою сессию захожу в minecraft через консоль и при входе на сервер у меня вылезает ошибка:Ошибка входа NO.Мб что то делаю не так?

Помогите пожалуйста.Могу заплатить 50 рублей)

 

дайте функцию для жавы, rc4.Пожалуйста

 

RC4 JAVA

 

поржал...NUPKE пытается угнать мой ак на моем же серве и помогают ему...угадайте кто)

 

Что?! Ах да, - Плохая, очень плохая защита, я думал лучше будет защита.

 

рискни угнать мой ак(maniak) защита не только в лаунчере, а еще в головах людей.
http://forum.mc-volga.ru/index.php?/topic/248-защита-аккаунтов-от-кражи/
и буду рад рациональным идеям защиты.
сейчас используются:
-хардварное опознание(если включено)
-вычисление сессии в клиенте
-проверка мд5 клиента
-проверка прохождения проверки мд5 клиентом на сервере

-------------------
Имею вопрос по запуску майна из с++ - не желаю в виде параметров передавать сессию и подобное, есть идеи кроме сохранения в файл и модификации клиента?

 

Патчить память процесса при запуске, хотя это не сильно поможет, да и антивирус тебя с потрохами сожрёт.
И таки прообфусцируйте лаунчер, а то декомпилишь его и для проверки мд5 просто везде меняешь код на тот что выполняется в случае успешного прохождения и вуаля.

 

мы?

 

обфускация тоже не ахти помогает, при желании можно и разобраться.

 

Нужно вшивать лаунчер в код клиента чтоб клиент проверял сам себя без возможности что то подменить. http://alexandrage.dyndns.org:8080/X.png

 

Всю тему, естественно, не читал.
Когда-то давно было сказано

Сейчас фордж пишет в лог сервера какие моды на клиенте стоят при подключении, как минимум поиск читеров уже в разы упрощается.
В купе с проверкой хеша майнкрафт.джар, которая не даст изменить упомянутые классы выходит не плохо.
Кроме того, можно "включать зеленый свет" на вход на сервер на очень ограниченное время, допустим минута, после которой ид сессии будет не действителен. Для лаунчеров с автоконнектом вообще никаких проблем, а без него пусть юзвери порасторопнее будут.