Утилита Готовая система скинов и авторизации Ely.by

Дело в том что твоя модификация по любому делает игру пиратской, это её цель. Цель моих рассуждений не в том что-бы вас кто-то засудил, этого у них попросту не выйдет из за тех же санкций и как следствие отсутствие сотрудничества правоохранительных органов их стран с нашими. Это пустой холивар ji est.

 

На данный момент это действительно так. Чуть позже владельцы лицензии смогут пользоваться Ely при помощи своего же аккаунта Mojang, дабы не заставлять их по новой выполнять регистрацию и т.д.

Не совсем. Целью Ely является отказ серверов от authme и переход к единому аккаунту для игры в Minecraft. Если бы у всех была лицензия, не было бы Ely и игроки бы играли только через свои официальные аккаунты. Но увы, большая часть пользователей СНГ не имеют лицензии, или имеют, но 5-рублёвую, на краденый акк, который им несколько не нравится. Именно с этой целью и создаётся Ely - дать всем равные возможности для игры в Minecraft.

Если в будущем все вдруг затарятся лицензиями, а сайт minecraft.net станет удобнее моего Ely, сайт прекратит существование за ненадобностью ))

Так то да, но в любом случае спасибо, что поднял вопрос. Получается какое-то жёлтое интервью, когда я прихожу к вам рассказать о хорошем, но вас всех интересует только чернота. В целом же это раскрывает все тёмные стороны проекта и даёт ответы на все узкие моменты, что тоже хорошо.

 

Не есть верно. Ely не распространяет пиратский клиент, а является лишь модификацией к любому клиенту.
Оффтоп: К тому же, все нынешние крупные проекты нарушают EULA по тому же критерию, к тому же они взимают плату (донат).

 

Если вспомнить о том, что такое EULA (Лицензионное соглашение конечного пользователя), то его правила вообще нас не касаются, ибо предназначены только для владельцев лицензии. Да, наглость серверов с засильем доната, платные плагины для серверов и т.д. не есть хорошо, но в целом Mojang, а ныне Microsoft довольно лояльно относятся к пиратству, так что пока живём по старой русской традиции: пока не бомбанёт ))

 

Там говорится не про весь донат, а про существенный, например продавать более красиво выглядящее вещицы чем обычно, как раз по правилам EULA реально и без его нарушения)

Платные плагины не в счёт, ибо они не идут в поставку с майном, пишутся программистом который закрепляет за собой авторство и функционал не должен быть похож на оригинальные механики игры, кроме случаев опенсорс лицензий ( Gnu/Linux, FreeBSD и т.д. ). Там для каждой лицензии по разному.

 

Согласен, с плагинами я несколько перегнул.

 

Полный отказ от authme открывает огромную уязвимость в сервере, авторизация должна быть прозрачной лишь для пользователя, на уровне клиента через Authme она всё-таки должна происходить, допустим сделать простенький мод, который делает это при вхоже на сервер ( естественно нельзя использовать пароль, можно сверять 2 раза хешированный md5 для DLE, передаваемый из лаунчера или загружаемый из конфига ). Нужно это для того что-бы не было ложных входов с изменённых клиентов, и для защиты подмены имени, т.к. будет требовать авторизацию по логину в том же лаунчере, если это возможно технически эта подмена работает в самом распространённом пиратском лаунчере в СНГ - Сашок и его модификации, да и не нужно будет придумывать всякие способы защиты от этого, когда есть такое. Как-то так.

 

Из твоих слов я так её и не увидел. Авторизация Ely лишена XSS уязвимостей, к паролю предъявляются требования по длине, сам пароль хранится в хорошо хэшированом состоянии, с солью. Каждый аккаунт верифицируется по email, регистрация на сервисы 10-минутной почты запрещена (фильтр (уже более 200 доменов) дополняется по мере обнаружения).

Кроме того переход на https, который так же не за горами, закроет дырку с перехватом трафика. И в конце-концов лаунчер не должен хранить пароль у себя. Mojang продумали алгоритм токенов - почему им не пользоваться? В TLauncher пароль используется только для получения access_token и за тем сохраняется уже именно токен, а пароль тут же забывается. Далее авторизация происходит через refresh-запрос.

Ну а если говорить уже о запоминании авторизации, то это даже смешно: ты ведь на этом же сайте каждый раз не вводишь свой пароль? В чём тогда проблема запомнить аккаунт в лаунчере и каждый раз не вбивать пароль на скорость в authme?

 

Это проблема не твоей системы, а скорее майна, можно авторизоваться с валидным аккаунтов под любым ником и его пропустит на сервер, с подменёнными сессиями авторизацией на свои ( в том числе и твоя система ). Хотя реализация этого мне пока не известна, но уже были взломан EvgexaCraft например...

 

Я не совсем уверен, понимаешь ли ты о чём говоришь, но попробую объяснить:

При авторизации ты получаешь access_token и uuid. Именно uuid (при online-mode=true) является твоим идентификатором, а не ник. Далее следует механизм авторизации: здесь используется принцип двойного рукопожатия, когда сначала клиент здоровается с сервером авторизации Ely и только в случае успеха уже с ним здоровается сам сервер. И сервер не получит положительного ответа, если join операция не пришла на Ely и не закончилась успехом.

Авторизация на базе online-mode=true гораздо более безопасна, чем authme.
И, кстати, мы используем механизм генерации uuid так же с солью, так что найти коллизию для него так же не выйдет.

 

вопрос был саркастический

 

Вот вам и очередной минус системы. Заддосят ее и у всех проектов нет ни скинов ни авторизации.

 

Нагрузка на проект очень высокая, железка не принимает. В целом правится прикручиванием кэширования, но до конца этой недели мне нужно закрыть сессию, иначе будет ататат.

Да, такой риск действительно существует. Если ты его опасаешься, то просто не используй мою систему авторизации - делов-то ))

P.S. система скинов живёт на независимом сервере и малоподвержена нападкам. С ростом популярности авторизации на отдельную машину выедет и система авторизации.

Я никак понять не могу, почему на этом сайте чуть более чем любая кнопка приводит к крашу js... Ни цитату нормально сделать, ни отредактировать сообщение.

 

Это фича штормвал, получи кукисы с главной страницы и все.

 

Децентрализованная система аутентификации могла бы нивелировать проблемы, связанные с доступностью серверов.
Каждый заботящийся о своём проекте администратор мог бы поднять клиентскую часть.
Если упадёт его часть, игроки всё равно залогинятся через какой-нибудь другой сервер.

Но если распределённые БД и средства аутентификации написать вполне достижимо, то работающий поверх всего этого распределённый ЛК будет невероятно жозенько для аудитории РБ.

Скорее всего ещё более простым способом к повышению стабильности будет настроить ряд серверов (отдельно веб, отдельно mysql) в разных ДЦ, поставив сервера mysql в режим master-master replication; и загнать все веб-сервера в балансировщик dns.

 

В принципе можно ведь написать дополнительный PHP слой, на который будут идти запросы сервера. Этот слой будет проксировать запросы на Ely и если оная будет не отвечать, то тянуть данные из локального кэша. В целом реализуемо и было бы неплохим дополнением для нашей авторизации.

 

Я даже речь скорее не про php завёл, а про какую-то большую и настроенную программную сборку, по типу того же гитлаба — вроде ставится одним пакетом, а в кишках и руби, и nginx, и postgre... жестач.

Всё чисто для того, чтобы если например упал ely.by, админы поняли это и обосрались, а игроки бы и не заметили.

Нужно почитать про распределённые системы, в которых участвуют равноправные недоверяющие друг другу участники

 

Угу.

P.S. зайди в скайп, чё ты на форуме фичи палишь то...

 

Вообще есть такая фича как "Кластер".

 

Может это и не по теме, но мне нужна помощь!
Зарегался я значит на ely.by.
Решил сегодня туда зайти, не входит!
Пытаюсь восстановить пароль и не получается. Пишет что email не верный(
Перебрал все свои почтовые ящики, ни один не подходит!
Можете помочь, ErickSkrauch?
заранее спасибо)