Обсудим Уязвимости серверов.

И ещё, все эти мануалы по системам авторизации, там на стороне сервера не проверяется ключ сессии, так как же они работают?!

 

В том то и дело что никак . (Ломай меня полностью ДЕМО)

 

Ты его сам пробовал запускать?
Если полностью обфусцировать Minecraft Stringer'ом, он будет жутко лагать.

 

Нет не лагал ни разу. Сам убедись у minecraftonly полностью обфусцираваны все клиенты.

 

У них обфусцированы 2 файла. И этой обфускацией всё равно ничего не добились, успешно взломаны

 

Ну так одной обфускации мало нужно полностью изменять систему авторзации.
И патом мало ты их клиент шарил он весь после стрингера.

 

Ну у них там хоть и не полностью, но достаточно сильно она изменена, так что стандартные способы не работают.

 

@Scorpi, И насколько сильно старая система отправки md5 на скрипт?

 

вот не надо. того, что мы прошарили, хватило, чтобы реализовать их авторизацию и зайти со своим лаунчером и клиентом

 

Там не только отправка md5 на скрипт, внимательнее посмотри.

Сейчас специально ещё раз посмотрел клиент сервера Classic.
Нашёл только 2 обфусцированных Stringer'ом класса - net.minecraft.client.Minecraft.class и axz.class

 

@Scorpi, А что еще? Лень качать их клиент чтоб посмотреть)

 

Если вкратце, то просто на каждый заход на сервер получается уникальный ключ, с ним производятся некоторые действия на стороне клиента, и он отправляется обратно. После захода на сервер этот ключ уже недействителен.

 

@Scorpi, А кстати эта система ломается банальным переименованием minecraft.jaк и он будет сверять хеш с оригинала

 

Ещё одно доказательство того что Goodie (администратор MinecraftOnly) ничего не смыслит в защите

 

@Scorpi, Кстати отправка md5 сворована с minecraft.pvp.gs.

 

На minecraft.pvp.gs случайно не такая же защита как на minecraft.ru?

 

Там только отправка md5. Я с нее сорци снял же :trf:.

 

Спойлер

 

@Scorpi, http://yadi.sk/d/aouAHZeG0sW7C вот оно чудо .

 

Тут разве есть защита? D: