EVE client broncode openbaar -> Welke beveiliging nog?

Verwijderd schreef op dinsdag 15 april 2008 @ 22:03:
Blijft er dan niet een soort van black-box testing/developing over?

Met wat sniffing kom je ook een heel eind, daar hoef je de sourcecode niet eens voor te hebben. Zo is samba ook bijvoorbeeld compleet opgezet.
Daarbij zijn zo'n beetje alle goede encryptie algoritmen ook open source, dus broncode die iedereen in kan zien. Daar wordt het echt niet onveiliger van; tenzij je bent uitgegaan van security by obscurity. Hoe dan ook ben je server-side nog altijd de baas en kun je eventueel misbruik dus doorgaans wel detecteren en weren (en hell, als het moet pas je de server aan als blijkt dat er een lek in zit/zat).

Verwijderd schreef op dinsdag 15 april 2008 @ 22:03:
Ik hoop dat ik het topic op de goede plaats heb aangemaakt, zo niet graag een verplaatsing...sorry

Waar hoort mijn topic?
Niet in SEA in ieder geval, dit lijkt me meer iets voor SGD aangezien je het over bots wil hebben enzo

Verwijderd schreef op dinsdag 15 april 2008 @ 22:03:
Nu is mijn vraag het volgende:

Stel () de gehele client broncode is openbaar, welke (niveau's van) beveiligingen kunnen er dan nog zijn aan de server-kant?
Ik bedoel, een 'connect' naar de server kan zo gemaakt worden toch?

Je kan altijd connecten naar een server. Zo kan je Telnet nog de opdracht geven om met een door jou gespecificeerde TCP port te verbinden. Of het nuttig is, is wat anders.

Hetzelfde met de broncode. Het is misschien lastig dat het is uitgekomen, maar mensen met genoeg motivatie hadden de client allang al gedecompileerd en daaruit hun conclusies getrokken.

Overigens is de reactie van de mensen achter EVE om te lachen. Ze dreigen iedereen op IP te bannen die een account heeft en de broncode ophaalt. Als informatie eenmaal op het internet beland, dan is het niet meer onder controle te krijgen. Vandaag downloaden ze het via een torrent, morgen via een nieuwsgroep en over een jaar via overige P2P-netwerken.

Kortom: zijn bots een stap dichterbij?

Al is iemand zo slim om bots te programmeren dan is die persoon ook wel zo slim om de boel al eerder te decompileren/analyseren. Kijk maar voor hoeveel closed-source RPG's (waarvan de broncode niet is uitgelekt) er bots beschikbaar zijn.

Natuurlijk is het slecht dat de broncode van EVE gestolen is. Wat eigenlijk minstens net zo slecht is is dat de makers van EVE hun beveiliging niet in orde hebben. Deze keer was het de broncode die gejat is, volgende keer het gehele klantenbestand...

The Zep Man schreef op woensdag 16 april 2008 @ 00:39:
Deze keer was het de broncode die gejat is, volgende keer het gehele klantenbestand...

De source code hebben ze verkregen door de python bestanden te decompilen. Er zijn daar programma's voor, dus ook mensen zonder veel verstand van python kunnen het decompilen. Of ze iets van de code snappen is eena ndere vraag ofc.
Echter, voor het klantenbestand moet je de servers waar het opstaat hacken, wat toch wel wat moeilijker. Dit is niet een programma downloaden en paar klikken.

Er was een thread op SHC hierover, helaas is die gesloten. Daar stond genoeg interresants in, waaronder potentiele exploits. Waaronder dat bots nu, met wat slim programeer werk, alles kunnen
"zien" wat een mens ook kan zien. Denk aan mensen in local, shields, rats etc.

Onder voorbehoud, heb 0,0 ervaring met python, dit is alleen wat ik heb opgevangen

De Eve broncode is al een keer eerder achterhaald (wat niet zo moeilijk blijkt gezien de Python broncode), maar iedere keer is het de clientcode. De server controleerd nog altijd of de informatie en commando's die de client stuurt correct zijn, zo heeft CCP het oppgezet. Ze zijn er van uit gegaan dat met de client gerommeld kan worden. Er is dus eigenlijk geen risico, behalve dat er mogelijk wat nieuwe bots komen (maar die zijn er toch al).

Dat nu opeens de klantgegevens op straat kunnen liggen is je reinste onzin.

Kijk even naar het verleden, World of Warcraft, Maple, Silkroad, PerfectWorld, rose oline etc etc etc.. allemaal ooit een keer broncode van 'vrijgekomen'.

Goeie bots komen niet vanuit zozeer vanuit gelekte server-source-code, veelal eerder van packetsnifs en client-decompiling. (GW heeft lange tijd enorm goeie bots gehad, maar afaik is daarvan nooit broncode uitgelekt)

edit: zover ik lees is het zelfs client-code source, heb je nog bijzonder weinig aan. (al kan je wat challenge/responces achterhalen, paar aanpassingen op de server en het is weer afgelopen).

Nothing the EVE client can do can affect the game state, a manipulated EVE client cannot affect the server, no advantageous or disadvantageous information can be transmitted to other EVE users by altering the EVE client

Imho niet veel meer dan, je hebt de source van IE7 en je past hem aan in de hoop 'beveiligde' gegevens van een website op je scherm te toveren.

[ Voor 46% gewijzigd door SinergyX op 16-04-2008 10:21 ]

Verwijderd schreef op dinsdag 15 april 2008 @ 22:03:
[...]
Stel () de gehele client broncode is openbaar, welke (niveau's van) beveiligingen kunnen er dan nog zijn aan de server-kant?
Ik bedoel, een 'connect' naar de server kan zo gemaakt worden toch?
[...]

Gebruik je FireFox?
Zoja, wordt tweakers.net daar ineens veel onveiliger van omdat de source van FireFox openbaar is?