Я обещал написать обстоятельный пост о событиях и проблемах последних дней.
По факту произошло продолжение июньских и июльских событий: известный нам злоумышленник обнаружил ещё одну уязвимость десятилетней давности, относящуюся к классу SQL-инъекций. Уязвимость была в скрипте Second-Hand’а, практически в неизменном виде существовавшем с 2006 года.
На этот раз использование уязвимости было довольно оперативно замечено и, чтобы избежать повторения августовской проблемы с несанкционированным доступом к другим персонажам, были предприняты следующие шаги:
- Игра была приостановлена на технические работы при первой же возможности
- Были аннулированы все пароли персонажей и изменён метод их шифрования
- Заодно (что тоже давно пора было сделать, но руки не доходили) авторизация была переведена на защищённый протокол HTTPS
- Был изменён метод восстановления пароля: теперь для непосредственной смены пароля необходимо иметь доступ к почте персонажа.
- Был изменён алгоритм генерации пароля (при регистрации и восстановлении): изначальная длина пароля изменилась с 8 до 12 символов и расширен алфавит используемых для генерации символов.
- Были убраны все ограничения на пользовательские пароли, кроме минимальной длины (осталось так же 6 символов).
Что касается пункта 2 — это, пожалуй, самое важное из произошедших изменений. И, как выяснилось впоследствии, самое проблемное.
Дальше будут технические детали, поэтому те, кто не знают и не хочет попытаться понять, что такое MySQL и хэширование, под кат могут не заглядывать. Ну либо пропустите первый абзац после ката — дальше объясняются проблемы с доставкой электронной почты. Читать далее