Мы сменили платёжного партнёра — и WebMoney снова принимаются в штатном режиме.

Также хотим напомнить, что евромафы теперь можно оплачивать и наличными в магазинах «Евросеть» и магазинах «Связной».

Теперь мы принимаем платежи по банковским картам в рамках «Единого платёжного решения» от Яндекс.Денег.

Решение «Яндекс.Денег» работает с картами MasterCard и Visa (теоретически возможна оплата картами Visa Electron и Maestro, если банк-эмитент разрешает оплату этими картами через Интернет). К оплате принимаются карты, выпущенные банками России, Украины, Беларуси, Казахстана, Азербайджана, Турции, Эстонии или Израиля.

Купить евромафы стало ещё проще! 🙂

На смену снятым с продажи комплектам в продаже появился новый комплект — Комплект Инь-ян.

В связи с непрекращающимися вопросами про заряд изменил отображение разряженных вещей.

Теперь покупать евромафы за Яндекс.Деньги ещё проще!

Пополнить счёт в «Мафии онлайн» теперь можно прямо из «витрины» на сайте Яндекс.Денег (а также из мобильной витрины Яндекс.Денег) и из мобильного приложения Яндекс.Денег (доступно для Android, iOS, Windows Phone и Windows 8 / Windows RT).

Наш проект находится в категории «Игры» (неожиданно, да?) и называется «Мафия онлайн».

Также напомню, что существует огромное множество способов пополнить кошелёк Яндекс.Денег без комиссии: в частности, в отделениях «Сбербанка», салонах «Связной», «Евросеть».

Обновлена страница «Команда проекта»: актуализированы руководители модераторов, убраны ныне не существующие сущности. И новые фото! 🙂

Комплект Авторитета также исчез из продажи.

Комплекты Маньяка, Уважаемого гражданина (обоих полов) и Продажного судьи исчезли из ассортимента Дома Торговца

В связи с большим спросом и двухдневным перебоем в работе проекта распродажа продлевается по 17 сентября включительно.

Я обещал написать обстоятельный пост о событиях и проблемах последних дней.

По факту произошло продолжение июньских и июльских событий: известный нам злоумышленник обнаружил ещё одну уязвимость десятилетней давности, относящуюся к классу SQL-инъекций. Уязвимость была в скрипте Second-Hand’а, практически в неизменном виде существовавшем с 2006 года.

На этот раз использование уязвимости было довольно оперативно замечено и, чтобы избежать повторения августовской проблемы с несанкционированным доступом к другим персонажам, были предприняты следующие шаги:

1. Игра была приостановлена на технические работы при первой же возможности
2. Были аннулированы все пароли персонажей и изменён метод их шифрования
3. Заодно (что тоже давно пора было сделать, но руки не доходили) авторизация была переведена на защищённый протокол HTTPS
4. Был изменён метод восстановления пароля: теперь для непосредственной смены пароля необходимо иметь доступ к почте персонажа.
5. Был изменён алгоритм генерации пароля (при регистрации и восстановлении): изначальная длина пароля изменилась с 8 до 12 символов и расширен алфавит используемых для генерации символов.
6. Были убраны все ограничения на пользовательские пароли, кроме минимальной длины (осталось так же 6 символов).

Что касается пункта 2 — это, пожалуй, самое важное из произошедших изменений. И, как выяснилось впоследствии, самое проблемное.

Дальше будут технические детали, поэтому те, кто не знают и не хочет попытаться понять, что такое MySQL и хэширование, под кат могут не заглядывать. Ну либо пропустите первый абзац после ката — дальше объясняются проблемы с доставкой электронной почты. Читать далее →