Безопасность в РиВ. Мастер-пароль

Anthrax

Итак, пока я гулял с ребенком на улице, тщательно обдумал ситуацию и те вещи, которые сейчас реализованы ГМом в РиВ, а также те, которых очень не хватает. Данный обзор-размышление служит целью обобщить много предложений, что были высказаны разными игроками и добавить кое-что из моих долгих размышлений.

Три типа управления аккаунтами (доступы) »

Доступ на аккаунт условно можно разделить на три типа:

  1. Играю сам и никого не пускаю на акк.
  2. Уехал в командировку (отпуск) на пару дней (неделю-две), дал акк порулить своим.
  3. Устал от РиВа, отдал акк на пару месяцев/полгода/год. Отдохну, вернусь в игру.

Все остальные варианты вписываются в эти три схемы, но именно от этих градаций зависит, что и как необходимо в игре добавить/изменить.

Мастер-пароль и другие фичи… »

Независимо ни от чего, он должен быть. Зачем?

Зайдя под мастер-паролем (и только под ним) можно:

  1. Вкл/Выкл галочку «показывать e-mail» аккаунта и иметь возможность изменить этот email.
  2. Изменить логин, и обычный пароль для входа.
  3. Дополнительные фичи, которых пока нет в РиВ, но будут описаны ниже.

Пока ничего другого этот пароль делать не должен. Я тщательно проанализировал все предложения, высказанные в ирке, Беседке и на других каналах и пришел к выводу, что все остальное — только ухудшит игру, либо нереализуемо так, чтобы принести пользу.

Что же за фичи?

  1. Чекбокс «разрешить/запретить роспускать юниты для стандартного сеанса» (а не мастер-сеанса). Сюда же относится и волшебная ссылка для роспуска наместника.
  2. Чекбокс «разрешить/запретить взрывать постройки на планетах для стандартного сеанса»
  3. Чекбокс «разрешить/запретить вход на закладку ‘Политика'» (если запрещено, то и на странице ‘Обзор’ не должна быть видна информация о вассалах, т.е. кто, что и т.п., только приход ресов/денег от них).
  4. Чекбокс «разрешить/запретить вход на закладку ‘Связь'» (т.е. блокируем чтение коммуникатора и отправку писем для стандартного сеанса).
  5. Реализовать страницу логина в игру через HTTPS-протокол, чтобы исключить возможность просниффить пароль, который я передаю на сервер РиВ.
  6. Зашифровать пароли, хранящиеся в базе данных сервера хотя бы md5-шифрованием, дабы избежать элементарного взлома базы и визуального просмотра паролей.

Все. Все остальное — уже можно построить на этом. Т.е. все три приведенные мной выше схемы управления аккаунтом прекрасно укладываются в различные настройки этих чекбоксов. Как веб-девелопер в прошлом, точно знаю, что сделать это технически не только просто, а очень просто (хотя придется уважаемому ГМу пройтись по многим скриптам, но это больше рутина, чем какая-то неимоверная сложность).

Дополнительное предложение по Коммуникатору (пароль на канал) »

Есть ситуации, когда нам надо реализовать в 2й или 3й схеме передачи аккаунта, доступ «гостя» в политику и коммуникатор, но запретить доступ на какой-то один канал или два канала. Да, можно просто отписаться от этого канала. Но если этот канал — ваша личная записная книжка и Вы его держите строго для себя, то отписываться довольно некрасиво.

Выход может быть таким: ввод пароля на чтение канала (пароль задается как на любом форуме, там можно создать запароленные форумы).

Т.о. Вы обезопашиваете себя от разглашения очень личной информации и уезжаете в отпуск/коммандировку, а Ваш «заместитель» отлично ведет переписку за Вас, но не имеет доступа на особо важные для Вас каналы.

Что делать, если аккаунт не отдают? »

Речь о мастер-пароле. Допустим вы отдали акк на «порулить» и ушли на полгода из РиВ. Акк за это время сменил 3-4 хозяина, для которых все чекбоксы на закладки «Политика», «Связь» и роспуск юнитов/построек были выставлены в «разрешить». Вы возвращаетесь, а акк Вам не отдают. [b]Сейчас это реальность и доказать ГМу что-либо на данный момент — не возможно[/b]. Он всегда говорит, что если отдали пароль, то надо этим людям доверять… Ага. Он прав, но жизнь — она бывает преподносит сюрпризы, и сегодняшние союзники и друзья могут оказаться завтрашними врагами. И, Гриб, это тоже правда, ты не можешь этого отрицать!

Что предлагаю я (что надо сделать)?

  1. Ссылку на странице логина «выслать пароль на email». Email один. И его можно изменить только зная мастер пароль. Мы все люди и бывает переезжаем, меняем работу или еще что, и наш email меняется. Делать его неизменным — в корне не верно. Также именно потому, что мы люди, нам надо иметь возможность напоминать [b]наш[/b] мастер-пароль на [b]наш[/b] email (который, напоминаю, можем изменить только мы).
  2. Реализовать все вышеперечисленные пункты с четырьмя чекбоксами.
  3. Человек, залогинившийся под мастер-паролем имеет возможность поменять ВСЕ настройки в аккаунте, как ему это надо.
  4. Зная мастер пароль, можно сбросить/изменить пароль на канал (если наш аккаунт является владельцем/создателем этого канала).

Резюме »

Если и когда все эти дополнения будут реализованы, РиВ будет застрахован от «человеческого фактора» («защита от дурака») в случае доступа на аккаунт нескольких людей. Т.е. аккаунт не только не смогут вайпнуть, но и не смогут распустить флоты, взорвать постройки, отключить вассалов/лорда. Да, смогут отправить наместника в полет, но это уже ничем и никак не запретишь (по крайней мере у меня идей на эту тему нет). Даже шаринг планет и гарнизонов на другой аккаунт (как обещает сделать ГМ) — не поможет от такой подлянки.

Но имхо, предложенные мной 4 чекбокса значительно проще реализовать, чем «шаринг планеты». И глюков должно быть на порядок меньше. Также пункт про HTTPS и шифрование пароля (если он хранится в базе зашифрованный, то это здорово и пункт выкидываем).

 

И в заключение, проблема простых паролей — не решена, т.к. это относится к человеческому фактору, а не к лени ГМа. Эту проблему должен каждый решать для себя сам.

Да, эта игра виртуальная, но деньги мы платим настоящие!

Всем спасибо за внимание, кто дочитал до этого места.

    Февраль 2007
    Пн Вт Ср Чт Пт Сб Вс
    « Янв   Мар »
     1234
    567891011
    12131415161718
    19202122232425
    262728  

Архив

Комментарии

Еще нет ни одного комментария. Будь первым!

Оставить комментарий

Вы должны быть залогинены, чтобы оставить комментарий.