Как вы уже могли заметить, за новогодние каникулы претерпели косметические изменения некоторые разделы нашей игры.
Вкратце об основных. Читать далее →

Я обещал написать обстоятельный пост о событиях и проблемах последних дней.

По факту произошло продолжение июньских и июльских событий: известный нам злоумышленник обнаружил ещё одну уязвимость десятилетней давности, относящуюся к классу SQL-инъекций. Уязвимость была в скрипте Second-Hand’а, практически в неизменном виде существовавшем с 2006 года.

На этот раз использование уязвимости было довольно оперативно замечено и, чтобы избежать повторения августовской проблемы с несанкционированным доступом к другим персонажам, были предприняты следующие шаги:

1. Игра была приостановлена на технические работы при первой же возможности
2. Были аннулированы все пароли персонажей и изменён метод их шифрования
3. Заодно (что тоже давно пора было сделать, но руки не доходили) авторизация была переведена на защищённый протокол HTTPS
4. Был изменён метод восстановления пароля: теперь для непосредственной смены пароля необходимо иметь доступ к почте персонажа.
5. Был изменён алгоритм генерации пароля (при регистрации и восстановлении): изначальная длина пароля изменилась с 8 до 12 символов и расширен алфавит используемых для генерации символов.
6. Были убраны все ограничения на пользовательские пароли, кроме минимальной длины (осталось так же 6 символов).

Что касается пункта 2 — это, пожалуй, самое важное из произошедших изменений. И, как выяснилось впоследствии, самое проблемное.

Дальше будут технические детали, поэтому те, кто не знают и не хочет попытаться понять, что такое MySQL и хэширование, под кат могут не заглядывать. Ну либо пропустите первый абзац после ката — дальше объясняются проблемы с доставкой электронной почты. Читать далее →

Электронное письмо, которое при регистрации получают новички, стало красочнее и информативнее. Читать далее →