উত্তর
- এসআরপি - নিরাপদ রিমোট পাসওয়ার্ড - এটি ডিফি-হেলম্যানের উপর ভিত্তি করে। ধারণাটি হ'ল আপনি কখনই পাসওয়ার্ড বা এটির জন্য ব্যবহার করা যেতে পারে এমন কোনও তথ্য হস্তান্তর না করে একটি পারস্পরিক পাসওয়ার্ড চেক করতে পারেন। যদিও এটি তারের উপরে সুরক্ষিত রয়েছে তবুও আপনার পাসওয়ার্ডগুলি হ্যাশ করা উচিত এবং আপনার পাসওয়ার্ডগুলিকে নুন দেওয়া উচিত কারণ আপনার সার্ভারটি এগুলি কখনও সরল পাঠ্যে সংরক্ষণ করতে হবে না ।
- এসআরপির সুবিধাটি হ'ল এটি একবার সম্পূর্ণ করার পরে আপনাকে একটি পারস্পরিক আলোচিত এনক্রিপশন কীও দেয় যা কোনও আক্রমণকারী আপনার স্থানান্তরিত ডেটার পরিমাপের ফলে কেটে নিতে সক্ষম হয় না। এর অর্থ হল যে ব্যবহারকারী একবার প্রমাণিত হয়ে গেলে আপনি একটি প্রতিসৃত এনক্রিপশন অ্যালগরিদম (AES এর মত) ব্যবহার করতে মুক্ত হন।
- ধরে নিই যে এর উপরে আপনি নিজের নির্ভরযোগ্য / অর্ডারযুক্ত (সংযোগ-ভিত্তিক) প্রয়োগের সাথে ইউডিপি ব্যবহার করছেন: পুরো ইউডিপি প্লেলোড এনক্রিপ্ট করুন - এতে আপনার 'প্যাকেট সিকোয়েন্স নম্বর' রয়েছে। যদি আপনার সিস্টেমটি সঠিকভাবে ডিজাইন করা হয়েছে তবে এটি স্বয়ংক্রিয়ভাবে পুনরায় খেলানো বার্তাগুলি প্রত্যাখ্যান করবে এবং একটি প্রবেশকারী প্যাকেট সিকোয়েন্স নম্বরটি পরিবর্তন করতে সক্ষম হবে না কারণ এটি এনক্রিপ্ট করা হয়েছে (সুতরাং এটি পুনরায় খেলানো সম্ভব - তবে এটি স্বয়ংক্রিয়ভাবে উপেক্ষা করা হবে)।
থটস
আপনার প্রমাণীকরণ নিরাপদ করা উচিত? একেবারে। কোনও পাসওয়ার্ড নিয়ে প্রশ্ন থাকলে সুরক্ষার ক্ষেত্রে কোনও আপস করবেন না Make সুতরাং আপনি অবশ্যই আমার উত্তর প্রথম বুলেট বিবেচনা করা উচিত।
আপনার ডেটা নিরাপদ করা উচিত? কেবলমাত্র যদি এটি ইন-গেম ক্রয় / মাইক্রো-লেনদেন হয় - এবং তবে কেবল এইচটিটিপিএসের মতো চেষ্টা করা এবং সত্য কিছু কেন ব্যবহার করা যায় না। আপনার গেম ট্র্যাফিক এনক্রিপ্ট করা নিম্নলিখিত কারণগুলির জন্য সম্ভবত একটি কার্যকর সমাধান নয়:
- এটি সম্পূর্ণ বিড়ম্বনা।
- এটি আপনার সার্ভারে সিপিইউ টাইম ওভারহেড যুক্ত করতে চলেছে, যদি না আপনি (ব্যয়বহুল) হার্ডওয়্যার এনক্রিপশন মডিউলগুলি কিনতে না পারেন।
- আপনি তারের উপর দিয়ে আপনার ডেটার জন্য কতটা সুরক্ষা সরবরাহ করছেন তা বিবেচ্য নয় - কেউ ক্লায়েন্ট প্রক্রিয়াটিকে হাইজ্যাক করতে পারে এবং বার্তাগুলি এনক্রিপ্ট করা এবং প্রেরণের আগে মুহুর্তেই তা ছিনিয়ে নিতে পারে। এটি কেবল একটি সম্ভাবনাই নয় তবে অসীম সম্ভাবনা বেশি কারণ এটি প্যাকেটের বিরতিতে তুলনা করে কোড ইনজেক্ট করা যথেষ্ট সহজ। আপনি যদি প্রতারণা প্রতিরোধের জন্য এটি করছেন তবে আপনি সম্পূর্ণরূপে এবং সম্পূর্ণরূপে আপনার সময় নষ্ট করছেন।
- পাসওয়ার্ড সুরক্ষার ক্ষেত্রে দুর্ভাগ্যক্রমে হাইজ্যাক হওয়া সিস্টেম সম্পর্কে আপনি যুক্তিসঙ্গত কিছু করতে পারবেন না, ক্লায়েন্ট প্রতিকূল হয়ে উঠেছে। ব্লিফার্ডস ওয়া ডংগলগুলি এটির সাথে মোকাবিলা করার জন্য ডিজাইন করা হয়েছে - তবে আমি নিশ্চিত নই যে এটি কতটা নিরাপদ (বিশেষত যদি আপনি এটি প্লাগইন রেখে দেন)।
দয়া করে, আপনি যদি প্রতারণা প্রতিরোধের জন্য এনক্রিপ্ট করছেন তবে এটিকে ত্যাগ করুন। আপনি সংক্ষেপে সামনে আসতে চলেছেন - আপনি যে ইভেন্টটি নন সেই তথ্যটি আমি আপনাকে দিয়েছি। মনে রাখবেন যে আপনি প্যাকেটের প্রথম বাইট দ্বারা নির্বাচিতভাবে প্যাকেটগুলি এনক্রিপ্ট করতে পারবেন এবং বাকীটি এনক্রিপ্ট করা হয়েছে কিনা তার সূচক: যদিও, আবারও, যদি আপনার ক্রেডিট কার্ডের লেনদেনের মতো কিছু করার দরকার হয় তবে আমি এইচটিটিপিএসের সাথে লেগে থাকব: এগুলি অত্যন্ত অপ্রতুল এবং এইচটিটিপিএস বিশেষজ্ঞরা ডিজাইন করেছেন - আপনি বা আমি ডিজাইন করেছেন এমন কিছু থেকে ভিন্ন।
এই সমস্ত বলেছিল, বরফখণ্ড আসলে তাদের ওয়া ট্র্যাফিক এনক্রিপ্ট করে। এটি ভেঙে যাওয়ার মূল কারণ হ'ল কেউ, যিনি সম্ভবত সম্পূর্ণ অপেশাদার, সিদ্ধান্ত নিয়েছিলেন যে তারা বাড়ির বর্ধিত এনক্রিপশন অ্যালগরিদমে তাদের হাত চেষ্টা করবেন; এই সত্যিই ভাল প্যানড আউট । এমনকি যদি আপনি শিল্পের স্ট্যান্ডার্ড অ্যালগরিদম ব্যবহার করেন তবে কেউ আপনার কোডটি রিভার-ইঞ্জিনিয়ার করে এটিকে অনুকরণ করতে পারে - এমন একটি ভাল সুযোগ রয়েছে যখন ক্লায়েন্ট তাদের পাসওয়ার্ড প্রবেশ করিয়ে দেয় তবে কোনও অসমর্থিত সিস্টেম সংযুক্ত আছে তা বলার অপেক্ষা রাখে না।