2894 ответов в теме

[Tenkuu no kaze]

тролли троллят троллей.. достали. сделайте паузу

у ччп сегодня между прочим двойной национальный праздник - первый день лета (сумарсдаг) и день девушек. так выпьем же за сиське!

[Jeremey]

В теории такое возможно, но очень много возни с клиентом надо, это не окупиться.

И, к тому же, там все-таки питон - наверно редко бывают переполнения буфера в чистом виде?

Любая прога, которая принимает данные снаружи может теоретически быть подвержена этой проблеме. Но это не цель, цель была на их протокол и кол-ва клиентских заморочек посмотреть.

Это понятно, но просто раз уж смотришь, то заодно. Потому что одно дело, когда дыры в игровой механике, а другое - когда дыры в безопасности (а раз есть одни, то могут быть и другие - разработчики-то одни и те же).

и протокол не chain-reaction.

Что значит chain-reaction?

Но игру плохой это не делает. Очевидно что клиент дырявый.....Но ответьте себе вы хотите играть или латать дыры.

Мы хотим играть в безглючную игру без эксплоитов. В качестве текущего эталона безглючности (по сравнению с Евой) и вылизанности интерфейса сойдет WoW.

Кстати, если я ничего не путаю, член CSM от ААА отписался в моей ветке про лишение пандемиков титула победителей алличемпа в том духе, что поднимет этот вопрос на следующем собрании CSM.

-----------
Кто еще не понял - это уже вопрос не просто двух эксплоитеров, нашедших баг и килявших боторавенов. Получается, что это целый алли пвпшников разрабатывал "свой" интерфейс в еве и как побочный эффект нашел эксплоит. Напомню - тот самый алли, что выиграл Alliance Tournament.

[Crulod]

Мы хотим играть в безглючную игру без эксплоитов. В качестве текущего эталона безглючности (по сравнению с Евой) и вылизанности интерфейса сойдет WoW.

твоя борьба с глюками носит какойто странный специфический характер....и таки определись ты продолжаешь играть или переселяешься на форум? а то странно выглядит весеннее обострение борьбы с глюками и сокращение онлана. Ты несмотря на все недостатки твоей личности в идиотизме обвинен быть не можешь. Ну подлец ты, но не дурак...Убить проэкт как раз легче всего именно вот такой борьбой "за безглючность"...почемуто мне кажектся что данная тема особенно доставила тебе радости.

[Gadsky]

Написал гигантский пост с возможностями того, что можно сделать, ясно без тестов, половина там гипотетически. Потом затёр. Мне CCP за работу не платит Я и так уже сутки почти клиент и протокол смотрю. Просто знайте, что дыр очень много, их всех не пофиксят, дай бог по мере поступления новых экспоит тулзов будут чинить самые популярные. А в целом убивать таких архитекторов. Ну для меня не новость как там пишут. Работал в Финляндии, Дании, Норвегии, Франции, Англии, Швеции, Германии. Ток шведы и немцы более-менее. Скандинавы всякие - это в целом беда, студенты.

Ох, блин, как же не хочется за всю эту рутину сажаться (. Работы ведь и так хватает!

Сообщение отредактировал Gadsky: 22 April 2010 - 2:19

[Ashtan]

Теперь сделайте активным другое окно. Фокус этим "эдит контролом" потерян, но вы видите ДВА элемента управления имеющих фокус.

Фокус то переводиться, просто компонент написан так, что визуально не снимает фокус. Но да, говорит об общем уровне.

[MOH]

ту каоз - мы с тобой давно давно в аське беседовали про бибизяна - я надеюсь ты ему скажешь что вааб стал копать под него и пускай этот чел вешается.

[Jeremey]

твоя борьба с глюками носит какойто странный специфический характер....и таки определись ты продолжаешь играть или переселяешься на форум?

Я не играю в Еву, но сегодня проплатил акк, чтобы постить на оффоруме.

а то странно выглядит весеннее обострение борьбы с глюками и сокращение онлана.

Какое еще сокращение онлайна? Я не играю в еву.

Убить проэкт как раз легче всего именно вот такой борьбой "за безглючность"...

Я когда играл - "боролся за безглючность" точно также: this, this, this, this. Помимо этого в процессе игры написал около десятка багрепортов, большинство из которых было принято и исправлено.

Сообщение отредактировал Jeremey: 22 April 2010 - 2:24

[no comments]

81 страница жЖ

[Crulod]

Я когда играл - "боролся за безглючность" точно также: this, this, this.

так вот оно что михалыч... ты просто герой-бетман разгоняющий тучи багов...Ты выбрал удачное место...в он-лайн играх их больше всего...устаешь наверно?....Сделал бы что то сам...тогда в игре появилось бы желание отдохнуть...

[Mister_Al]

Что значит chain-reaction?

могу предположить, что это означает выполнение следующей процедуры в цепи только по подтверждению корректного выполнения предидущей. В данном случае это должно было бы быть появление персонажа в системе только после подтверждения его присоединения в чату данной системы.

Читаю что-там на е-он наваяли... на цитате Картууна и дальше волосы на голове зашевелились...

Сообщение отредактировал Mister_Al: 22 April 2010 - 2:36

[Jeremey]

так вот оно что михалыч... ты просто герой-бетман разгоняющий тучи багов...Ты выбрал удачное место...в он-лайн играх их больше всего...устаешь наверно?....Сделал бы что то сам...тогда в игре появилось бы желание отдохнуть...

Ты уж определись, в чем ты меня обвиняешь - в том, что я ничего не делаю для Евы, или что делаю это ради понтов перед тобой.

Сообщение отредактировал Jeremey: 22 April 2010 - 2:28

[dumpert]

а вброс с форума пандемиков - очень, очень хорош.

Alright fellas. I am a PL member, but I'd rather not disclose exactly who I am at this point. PL has developed an internal application known as "The Sphere", which is what MS has been using to 'test' killing botters. I don't have access to the sub-forums to which they are developing this stuff, but someone who did sent me a post that karttoon made the other day with some research on the futher development of the application. I am completely against the creation of eve exploits, so I've decided to release this for you guys to use to help put a stop to this bull****.

Originally by: karttoon
I've found a few ways to improve The Sphere app, but there is still a ton of investigation/work to be done. Injecting the raw IRCD command to join the local channel seems to work 100% of the time using the #local.<system name> channel-set. It appears that issue the app seemed to be running into was that the eve IRCD is developed to be case sensitive for local channels. I'm working on a flat file database list that contains all of the correct cases as placed in the IRCD. If the injection joined the incorrect local channel (which didn't really exist), then the client would disconnect on aggression, causing you to float in space with your **** in your hand. It seems that Monkeys connection issues related to some of his comedy losses were related to the fact he actually didn't join local prior to aggressing on the target. If I can get someone in a covops to roam around and capture the raw packet logs I'll run it through the perl script I wrote to parse the correct system names. At a minimum, we need to do this for all of the eastern and southern systems.

Problem two I looked at is where we are only obtaining a 50% success rate in actually dropping the join channel, variable based on who is testing this. This seems to be due to the fact that the virtual NIC drivers that monkey developed have issued the drop packet command after the packet has already been sent to the server. This is variable by CPU load of the client, network utilization, ping times, and luck. There is no easy way to solve this without completely lagging out the client with a full custom in-line packet inspector. There are some commercial applications that have this functionality for other purposes, and are extremely efficient. Software wise, NOD32 has both built in memory and packet inspection technologies that I think I can tap into to drop entering local. I don't think it will be easy to specify the system, but at a minimum I'm sure I can get it to not join 'any' local channels, where you'd then have to issue the manual injection technique for each system (annoying, but not a huge deal unless you plan to burn around quickly). The second option is to use hardware between your computer and the server, which isn't very practical for anyone. Managing encryption keys for the sessions is also a ton of effort to program. McAfee intrushield hardware (costly unless you get a used unsupported device), or potentially modified snort may be able to do this for us. I'd rather look into this as a last resort since this would either require a virtual machine to be running, adding lag, or additional hardware.

Some irrelevant random points: Toying around I've also discovered ways to join multiple local channels and speak in them remotely, but you randomly get disconnected from the server when doing this. I think it has something to do with CCP's desynch detection code. Private group channels appear to use the +k IRC setting, which means you can't snoop on random channels unless you actually know the channel password. How they've implemented the 'allow' or 'deny' list for the channel is still unknown to me at this point. If I can figure it out, perhaps I can bypass the key requirement with further injections. I'm a bit busy for the next few days doing other things, but I'll keep you guys posted.

завтра с утра постараюсь перевести, пока так

Сообщение отредактировал dumpert: 22 April 2010 - 2:31

[Ashtan]

И, к тому же, там все-таки питон - наверно редко бывают переполнения буфера в чистом виде?

Питон это питон, а свестоперделок там своих навёрнуто достаточно, клиент же не чистый питон скрипт, на вылизаном интерпретаторе. Даже на чистом можно попробовать.

Это понятно, но просто раз уж смотришь, то заодно. Потому что одно дело, когда дыры в игровой механике, а другое - когда дыры в безопасности (а раз есть одни, то могут быть и другие - разработчики-то одни и те же).

Я тебе открою секрет, ну или не открою. Почти все ММО это дыра с точки зрения безопасности. Тот же GameGuard корейский в списки "remote admin эксплоит" была занесена долгое время. Чтобы заховать контроль над машиной через EVE клиент надо попыхтеть. Где профит? Мне за эту работу платят обычно, официально, с налогами Другое дело быстро посмотреть логические дырки в архитектуре клиента и протокола.

Что значит chain-reaction?

Это значит, что можно провести логически проверку валидности каждой следующей команды в протоколе на основе приведущих. Цепочка валидных пакетов. Или не валидных в случает читора.

Сообщение отредактировал Ashtan: 22 April 2010 - 2:34

[Jeremey]

а вброс с форума пандемиков - очень, очень хорош. :)

А то. Оказалось, стоило кому-то чуть копнуть и...

Кстати, собственно об этом же "моде UI" в полутроллинговой форме упоминали сами пандемики в начале того топика на оффоруме - но почему-то никто не воспринял их всерьез. :)

Это значит, что можно провести логически проверку валидности каждой следующей команды в протоколе на основе приведущих. Цепочка валидных пакетов. Или не валидных в случает читора.

Понятно. Т.е. это как способ упрощения проверки на сервере? Ну т.е. чтобы не проверять валидность каждого пакета по всем условиям текущего окружения игрока?

Сообщение отредактировал Jeremey: 22 April 2010 - 2:33

[Orgazmaat]

а вброс с форума пандемиков - очень, очень хорош.



завтра с утра постараюсь перевести, пока так

этож тролинг

[MOH]

а вброс с форума пандемиков - очень, очень хорош.

Но наши бойцы не умеют форменного пвп совсем. Сейчас их загонят в угол и пойдет опять война честных парней с ботами.

[Berty Wooster]

award
можно постить коменты - нормальная стартовая площадка для тех кто хотел нарисовать новость на ленте

Сообщение отредактировал Berty Wooster: 22 April 2010 - 2:50

[dumpert]

этож тролинг

говоря откровенно - не очень уверен. много технических деталей, слишком похожих на результаты уже моих сегодняшних дилетантских копаний - про подключение к другому локалу, например.

[Jeremey]

этож тролинг :blink:

Какой еще троллинг, там человек говорит в точности то же, что люди из этого топика, ковырявшие клиент - и о чат каналах как каналах на ирц сервере, и описывает конкретные проблемы с подключением к ним.

Сообщение отредактировал Jeremey: 22 April 2010 - 2:37

[Rosia]

Особенно, если учесть, что теперь там больше голосят о русских хакерах, которые за 2 дня расковыряли и воспроизвели этот баг. Т.о. у народа там возникает когнитивный диссонанс, т.к. образ зарабатывающего на хлеб макромайнера/боторавена с образом кул-хацкера уже не вяжется.

Да да уж на что я не люблю Лукьяненко , но и он тут попал . Помните у него про хакккккерофф? Ужасть .

Посмотрел свою репу , епта какие уепки в ней пишут . Модерам позор . Или баньте или спускайте всем. А то от притырков оппутеных сполошная импотуха пробивает .