Strzeżcie sie MC userzy!

[Ashlon]

Cytuj:

Oryginalnie napisane przez Belefiz

Na allegro ostatnio można było kupić instrukcję "Jak zrobić Tibia MC domowej roboty". Myśle że jeśli samemu się zrobi to umiknie się hacka.

Hacka tak, ale oszustem bedziesz nadal.

[MatKus]

Cytuj:

Oryginalnie napisane przez Gremlin

Komponent odmierzajacy czas w zegarze komputerowy o ile sie nie myle oscyluje cos ~2 milliardow razy na sekunde (tyle samo co w zegarku elektronicznym), dokladnosc pomiaru czasu powinna byc wystarczajaca zeby wybrac pojedynczy kopmuter sposrod kilku milionow (btw na swiecie ilosc komputerow chyba sie liczy w milliardy w tej chwili )

nie zupełnie. Zegar komputera liczy jakieś 18,2 razy na sekundę (dokładnie 65536 razy na godzinę). Windows i Linux natomiast podają czas odpowiednio z dokładnością do 1/1000 i 1/1000 000 sekundy. Przypuszczam, że właśnie ta różnica dokładności między zegarem systemowym a sprzętowym może być źródłem informacji, ale jak to tak na prawdę jest, tego nie wiem.

Zaś co do MC - nie używam, bo nie potrzebuję. Wiem, jak zrobić i w razie potrzeby potrafił bym sam sobie zrobić zarówno MC, jak i dowlonego bota, ale po co? Wczoraj w ciągu około godziny kupiłem sobie jakieś 20 bp uhów. Teraz pójdę polować, i zarobię na tym na kolejne UHy, więc nie widzę powodu, żeby używać MC. Jasne, że można postawić farmę 20 druidów na botach, produkować tony UHów na sprzedaż, i po miesiącu mieć najlepszy możliwy sprzęt, ale co dalej? Po co dalej grać, skoro już nie ma się żadnego celu przed sobą? A tak, spokojnie sobie gram bez MC, zbieram samemu uczciwie pieniążki na runki, na sprzęt lepszy, teraz zbieram na domek... Nie miał bym z tego przyjemności, gdybym wszystko to miał za darmo. Pocieszył bym się 10 minut, a pitem wylogował się pewnie, bo by mi się już wszystko znudziło.

[Ing]

heh... z tego, co widzę metoda doskonała nie jest... w przypadku małych serwerów (w grupę których zaliczyć mogę także Tibię) informacje tego typu zdobywane z nagłówków pakietów mogą w miarę jednoznacznie identyfikować dany komputer (zwuaszcza, iż sesja trwa długo i jest ciągła [w większości przypadków także bezpośrednia], co na dłuższą metę uniemożliwia lub krytycznie ogranicza zbyt swobodne żonglowanie adresem IP klienta).

Z drugiej strony w przypadku większych sewerów będzie ona raczej nieprzydatna (chyba że w celu zawężenia pewnej grupy).

Z technicznego punktu widzenia, raczej nie będzie ona zbyt skuteczna w przypadku bardziej zaawansowanych i dbających o swoją anonimowośc użytkowników... Wystarczy mały programik dynamicznie zabawiający się zegarem systemowym, albo bespośrednia ingerencja w wychodzące pakiety. Serwer docelowy powienien sobie poradzić z takim małym chaosikiem, co nie wpłynie zbyt drastycznie na spójność danych. Dorzucimy do tego przeroutowanie połączenia (chociażby przez proxy), albo mały spoof IP i cały projekt bierze w łeb... Co więcej - jeśli serwer zbyt bardzo będzie tej metodzie ufał, nie mamy też problemu z podszyciem się pod innego klienta, o ile jesteśmy w stanie przechwycić kilka z jego pakietów (ewentualnie otrzymać odpowiedź na ping). Jeśli w naszym sąsiedztwie znajduje się powiedzmy kafejka internetowa, bezproblemowym jest podrzucenie tam małego programiku pozwalającego na routowanie przezeń połączenia i wyciąganie wspomnianych informacji na których miałby się rewolucyjny system opierać. I tak oto jesteśmy jednoznacznie interpretowani jako Internet Cafe na rogu Powstańców i Kwiatkowskiej. Myślę, że na dłuższą metę metoda ta będzie powodowała zbyt dużo strat i niejednoznaczności, by została masowo wykorzystywana.

Nie wspomnę już o wzroście skuteczności ataków OOB na serwer analizujący wszystkie dodatkowe dane z otrzymywanych pakietów...