মাল্টিপ্লেয়ার গেমস কিভাবে প্রমাণীকরণ হ্যান্ডেল করা উচিত?


27

গেমসে একটি প্রমাণীকরণ সিস্টেম কীভাবে কাজ করবে তা বোঝার জন্য আমি চারপাশে ঘুরে বেড়াচ্ছি, তবে অনেকগুলি অনুসন্ধানের পরেও মনে হচ্ছে এমএমওর চেয়ে অনেক কম ক্ষমতা সম্পন্ন কেবল একটি মাল্টিপ্লেয়ার গেমের জন্য এসএসএল / শংসাপত্রগুলির সাথে কাজ করা কিছুটা জটিল হতে পারে।

আমি জানি যে সফল মাল্টিপ্লেয়ার গেমগুলির এটি প্রয়োজন, তবে আমি অন্য মাল্টিপ্লেয়ার গেমগুলি সাধারণত এই সতর্কতা অবলম্বন করে কিনা তা পরীক্ষা করে দেখতে চাই।

সম্পাদনা : আমার মনে কী আছে তা আমি বর্ণনা করব। সার্ভারটি কেবল গেম যুক্তিই নয়, প্রমাণীকরণকেও পরিচালনা করে। সুতরাং, একটি নির্দিষ্ট সার্ভারে খেলতে (যাতে সবাই শুরু করতে পারে), আপনাকে প্রথমে সার্ভারে একটি অ্যাকাউন্ট নিবন্ধন করতে হবে এবং প্রতিবার আপনি সেখানে খেলতে চান, যথারীতি লগইন করুন (পাসওয়ার্ড / নাম ব্যবহারকারী)।

আমার প্রশ্ন হ'ল লগ ইন / নিবন্ধন করার জন্য কোনও সুরক্ষিত চ্যানেল সরবরাহ করা কি এই প্রসঙ্গে ক্ষমাযোগ্য / বোধগম্য? এছাড়াও আমি অনুরূপ আর্কিটেকচার সহ গেমস কীভাবে এই বিষয়টি পরিচালনা করবে তা জানতে আগ্রহী।


এসএসএল শংসাপত্রগুলি পরিচালনা করতে জটিল এবং বেদনাদায়ক। আমি আপনাকে দূরে থাকার পরামর্শ দিচ্ছি।
ashes999

4
@ ashes999 আসলে সিএ কর্তৃপক্ষের স্বাক্ষর হওয়ার কারণে এ ব্যথা আসে। এমন কোনও গেমের জন্য যা কোনও ব্রাউজারের মাধ্যমে সার্ভারের সাথে যোগাযোগ করে না আপনি স্ব-স্বাক্ষরিত চিরন্তন শংসাপত্রটি ব্যবহার করতে পারেন, এমনকি ক্লায়েন্টরা সঠিক শংসাপত্র ব্যবহার করা হয়েছে কিনা তা যাচাই করতে পারবেন। একটি ভাল গ্রন্থাগার দেওয়া এটি সেট আপ করা মোটামুটি সহজ।
আআআআআআআআআআআআআআআআআআআআআআআআআআআআ। 21

এমন অ্যাপ্লিকেশন হোস্টিং সমাধান রয়েছে যা আপনাকে সাবডোমেনগুলি এবং তাদের ওয়াইল্ডকার্ড শংসাপত্রের মাধ্যমে বিনামূল্যে এসএসএল দেয়। অতএব আপনি নিজেরাই এসএসএল শংসাপত্রের কথা ভাবার দরকার ছাড়াই এইচটিটিপিএস ব্যবহার করতে পারেন। ঠিক অন্য বিকল্প হিসাবে।
শান মিডলডিচ

@e ব্যবসায় আপনি ঠিক বলেছেন।
ashes999

উত্তর:


41

বিশেষত আপনার প্রশ্নের শেষ বিট সম্পর্কিত: না, এটি একটি অনিরাপদ প্রমাণীকরণ সিস্টেম থাকা কখনও ভুলযোগ্য নয়। কম্পিউটার সুরক্ষার বিষয়টি ব্যবহারকারীরা খুব কমই আলোকিত হয়। ব্যবহারকারীরা তাদের গুগল অ্যাকাউন্ট, ফেসবুক অ্যাকাউন্ট, ব্যাংক অ্যাকাউন্ট, এবং এর জন্য যেমন করে আপনার ছোট গেমের জন্য একই পাসওয়ার্ড ব্যবহার করে। এমনকি যদি আপনি দাবী করতে পারেন যে ইন্টারনেটের দুর্বল সুরক্ষা ব্যবহারের জন্য এটি তাদের দোষ, তবুও যদি আপনার গেমটি আক্রমণকারী ভেক্টর হিসাবে ব্যবহারকারীর লগইন শংসাপত্রগুলি চুরি করতে ব্যবহৃত হয় তবে তাকেই দায়বদ্ধ করা হবে। বিকাশকারী হিসাবে যিনি আরও ভাল জানেন, কেবলমাত্র নৈতিক বিকল্পগুলি হ'ল আপনার প্রমাণীকরণ প্রক্রিয়াটি সঠিকভাবে সুরক্ষিত করা বা কোনওটিই না।

কিছু অযাচিত কিন্তু সম্পর্কিত পরামর্শ হিসাবে, ব্যবহারকারীরা যেভাবেই হোক আপনার গেমের জন্য সাইন আপ করতে হবে না। তারা যদি আপনার গেমটি খারাপভাবে খেলতে চায় তবে তারা তা করতে পারে তবে সাইন আপ করার জন্য আর একটি ফ্র্যাকিং লগইন হ'ল কেবল সম্ভাব্য অনেক খেলোয়াড়কে তাড়িয়ে দিতে চলেছে। ব্যবহারকারীরা সেখানে প্রতিটি একক সাইট, পরিষেবা এবং গেমের জন্য একটি নতুন অ্যাকাউন্ট তৈরি করার কারণে অসুস্থ, বিশেষত যদি তাদের কোনও ইমেল বৈধতা বা এর মতো প্রয়োজন হয় require আপনি যদি পারেন তবে লগইন করা একেবারেই এড়ানো বা ব্যবহারকারীদের ইতিমধ্যে একটি অ্যাকাউন্ট রয়েছে এমন একটি তৃতীয় পক্ষের প্রমাণীকরণ পরিষেবা ব্যবহার করুন। আপনার আরও প্লেয়ার সেভাবেই থাকবে। আপনি যদি কোনও অ্যাপ্লিকেশন কেনার পরিকল্পনা করেন তবে এটি ট্রিপল হয়ে যায়।

ওয়েব গেমস

একটি জনপ্রিয় বিকল্প - বিশেষত ওয়েব গেমসের জন্য, যদিও এটি প্রচলিত গেমগুলির জন্যও কাজ করে - হ'ল একটি ওয়েব-ভিত্তিক তৃতীয় পক্ষের প্রমাণীকরণ পরিষেবা ব্যবহার করা। ফেসবুক এবং গুগল উভয়ই প্রমাণীকরণের জন্য ভাল ডকুমেন্টেড এপিআই (উভয় মানকযুক্ত আইপিআই, আইআরসি ভিত্তিতে) রয়েছে have তাদের একটি ব্রাউজার উইন্ডো খোলার এবং ব্যবহারকারীকে তাদের পরিষেবার দিকে পরিচালিত করার দক্ষতার প্রয়োজন হয় তবে বেশিরভাগ নন-কনসোল প্ল্যাটফর্মগুলিতে এটি করা সহজ এবং ওয়েব গেমসের জন্য অবশ্যই তুচ্ছ।

এই পরিষেবাগুলি তারের মাধ্যমে লগইন ট্র্যাফিক এনক্রিপ্ট করার, লগইন শংসাপত্রগুলি সুরক্ষিতভাবে সংরক্ষণ এবং ব্যবহারকারীর লগইনগুলিকে বৈধকরণের সমস্ত অগোছালো বিশদ রক্ষা করে। আপনার গেম সার্ভারটির তখন কেবল প্রোটোকলের সেই অংশটি প্রয়োগ করা দরকার যা ব্যবহারকারীর কাছ থেকে কুকি গ্রহণ করে এবং কুকিটি বৈধ কিনা তা প্রমাণীকরণ পরিষেবাটি জিজ্ঞাসা করে, যা বেশিরভাগ ক্ষেত্রে সাধারণ HTTP দিয়ে করা যায়।

আমি দাবি করি না যে বেশিরভাগ traditionalতিহ্যবাহী মাল্টিপ্লেয়ার গেমগুলি এটি করে কারণ তারা তা করে না, তবে আমি দাবি করব যে বেশিরভাগ অনলাইন নৈমিত্তিক ওয়েব গেম এটি করে।

Traditionalতিহ্যবাহী (নন-ওয়েব) গেমসের জন্য, এই লগইন পদ্ধতিটি সহজ করে তোলা হয় ব্রাউজার এম্বেড করে (অ্যাভোসোমিয়াম, ক্রোমিয়াম এম্বেড ফ্রেমওয়ার্ক, বা সোজা ওয়েবকিট জনপ্রিয় পছন্দ হিসাবে) বা বাহ্যিক ব্রাউজারে কল করে (এটি আরও কিছু কল্পিত হতে পারে) যদিও লেখক কুকিটি সরিয়ে ফেলুন, এবং উল্লিখিত লাইব্রেরিগুলির মধ্যে এম্বেড করার চেয়ে কোনও সহজ কাজ নয়।

এই পদ্ধতির একটি সাধারণ উদাহরণ যে কোনও ফেসবুক গেম।

Tতিহ্যবাহী গেমগুলি এইচটিটিপিএস ব্যবহার করে

লগইনের জন্য একটি সাধারণ এইচটিটিপিএস পরিষেবা ক্রমবর্ধমান স্বাভাবিক। অনেক গেম কাস্টম প্রোটোকল ব্যবহার করে তবে এগুলির বেশিরভাগ অসম্পূর্ণ (তাদের সুরক্ষিত লগইন রয়েছে তবে কোনও অ্যাকাউন্ট তৈরি / আপডেট করার কোনও সুরক্ষিত উপায় নেই, সুতরাং তাদের যেভাবেই এইচটিটিপিএস পরিষেবা প্রয়োজন) বা কেবল ভয়াবহভাবে নিরাপত্তাহীন।

এমনকি কাস্টম এসএসএল শংসাপত্র অর্জন করার দরকার নেই। অনলাইন অ্যাপ্লিকেশন হোস্টিং সরবরাহকারী রয়েছে যা আপনাকে একটি সাবডোমেন দেয় এবং একটি ওয়াইল্ডকার্ড এসএসএল সার্টি ব্যবহার করে। আপনি mygame.someservice.com এ আপনার প্রমাণীকরণ পরিষেবা রাখতে পারেন, যা * .someservice.com ওয়াইল্ডকার্ড শংসাপত্রের আওতাভুক্ত যা কিছু পরিষেবা রক্ষণাবেক্ষণ করে এবং আপনি যেতে ভাল।

এখানে ধারণাটি হ'ল ব্যবহারকারী আপনার সেবায় লগ ইন করে যা একটি অনন্য সেশন কুকি তৈরি করে, যা ব্যবহারকারী তার পরে আপনার প্রধান গেম সার্ভারে প্রবেশ করতে পারে। সার্ভারটি লগইন সিস্টেমটিকে জিজ্ঞাসা করে যদি অনুরোধ করা ব্যবহারকারীর জন্য কুকি বৈধ হয়। সেকেন্ডের ক্রম অনুসারে কুকিতে সাধারণত খুব সংক্ষিপ্ত সময়সীমা থাকে (উদাহরণস্বরূপ) (15-30, উদাহরণস্বরূপ), এবং এটি সাধারণত একবার ব্যবহার করা অবৈধ হয়ে যায়, যার ফলে রিপ্লে আক্রমণগুলি অসম্ভব হয়ে যায়।

মনে রাখবেন যে আপনি যদি ক্লায়েন্টের ভিতরে থেকেই তারের মাধ্যমে পেমেন্টের তথ্য প্রেরণ করার পরিকল্পনা করেন তবে এইচটিটিপিএস হ'ল আমার সবচেয়ে প্রস্তাবিত বিকল্প। তবে এটির জন্য তৃতীয় পক্ষ ব্যবহার করা উল্লেখযোগ্যভাবে ভাল better আপনি যদি মনে করেন যে পাসওয়ার্ডের মতো সহজ কিছু সুরক্ষিত করা খুব বেশি কাজ, আপনি এমনকি ক্রেডিট কার্ড নম্বর সংরক্ষণ এবং প্রক্রিয়াকরণের জন্য ন্যূনতম (এবং সত্যই যথেষ্ট অপর্যাপ্ত) পিসিআই সম্মতি বিধি পূরণ করার চেষ্টা করার কথা ভাবেন না। আপনার যদি ব্যবহারকারীরা বিশ্বস্ত তৃতীয় পক্ষের পেমেন্ট পরিষেবাদি ব্যবহার করে যা তারা ইতিমধ্যে ফাইলে রয়েছে সেগুলি আপনার কাছে আরও ভাল হবে।

আপনার লগইন পরিষেবাটিকে প্রধান গেম সার্ভার থেকে পৃথক করার একটি শক্তিশালী সুবিধা হ'ল এটি বাহ্যিক কার্যকারিতাটি খেলাগুলির থেকে পৃথক ব্যবহারকারীর অ্যাকাউন্টগুলিতে আবদ্ধ হতে দেয়। আপনার ওয়েবসাইটে আপনার কিছু অ্যাকাউন্ট বৈশিষ্ট্য থাকতে পারে (অবতার বা এ জাতীয় দেখার জন্য), অথবা আপনি ফেসবুক অ্যাকাউন্টগুলিকে আপনার অ্যাকাউন্টগুলিতে লিঙ্ক করার অনুমতি দিতে পারেন, বা আপনার একাধিক গেমস একক অন্তর্নিহিত অ্যাকাউন্ট প্ল্যাটফর্মের সাথে ভাগ করেছে (যেমন, গ্যালাক্সি এ যুদ্ধের বৈশিষ্ট্যগুলি ম্যাস এফেক্টস) 3)।

প্রমাণীকরণের জন্য এইচটিটিপিএস ব্যবহার করে একটি জনপ্রিয় উদাহরণ গেমটি হ'ল মাইনক্রাফ্ট।

নেটিভ ক্লায়েন্ট গেমসের সাথে তৃতীয় পক্ষের ওয়েব প্রমাণীকরণ

কোনও স্থানীয় ক্লায়েন্টের সাথে ফেসবুক কানেক্ট বা গুগলের মতো তৃতীয় পক্ষের পরিষেবাগুলি ব্যবহার করা সম্ভব। গুগলের মতো উদাহরণস্বরূপ ফেসবুকের আইওএস এবং অ্যান্ড্রয়েডের একটি নেটিভ এসডিকে রয়েছে। কিছু পরিষেবা একইভাবে traditionalতিহ্যগত পিসি ক্লায়েন্টদের জন্য নেটিভ এসডিকে রাখে।

যদি টার্গেট পরিষেবাদিতে কোনও নেটিভ এসডিকে না থাকে এবং একটি ওয়েব ব্রাউজার ব্যবহারের প্রয়োজন হয় তবে আপনি কেবল আপনার গেমটিতে একটি ব্রাউজার এম্বেড করতে পারেন। তবে কিছু ব্যবহারকারী লগইন তথ্য প্রবেশ করতে এম্বেড ব্রাউজার ব্যবহার করতে অবিশ্বস্ত হতে পারে।

আপনি একটি বাহ্যিক ব্রাউজারও ব্যবহার করতে পারেন। এটি বন্ধ করার কয়েকটি উপায় রয়েছে। কারও কারও কাছে অন্যের চেয়ে কিছুটা বেশি ওএস-সংহতকরণ প্রয়োজন। কারও কারও কাছে আপনার প্রধান গেম সার্ভারের পাশাপাশি (বা কমপক্ষে পৌঁছাতে সক্ষম) একটি বাহ্যিক ওয়েব পরিষেবা চালিত হওয়া প্রয়োজন। নোট করুন যেহেতু ফেসবুক এবং গুগলের সাধারণত একটি ইউআরএল প্রয়োজন হয় যা প্রমাণীকরণ করা হয়, তাই আপনার প্রায়শই (প্রায়) সমস্ত ক্ষেত্রে এই প্রোটোকলগুলি ব্যবহার করার জন্য আপনার একটি পাবলিক ওয়েবসাইট ল্যান্ডিং পৃষ্ঠা প্রয়োজন।

সবচেয়ে বোকা-প্রমাণ এবং নির্ভরযোগ্য, যদি খুব সহজ না হয় তবে হ'ল আপনার মূল ওয়েবসাইটের মাধ্যমে আপনার ক্লায়েন্টের কাছ থেকে আপনার লগইন অনুরোধটি বাউন্স করা। আপনার ক্লায়েন্টটি একটি প্রামাণ্য অতিথি ব্যবহারকারী হিসাবে প্রধান গেম সার্ভারের সাথে সংযোগ স্থাপন করে এবং একটি অনন্য সেশনের টোকেন গ্রহণ করে। গেম সার্ভার ক্লায়েন্টকে এই অবস্থায় থাকতে আসলে অনেক কিছু করার অনুমতি দেয় না; খেলোয়াড়টি কে গেমটি জানে না, তাই প্লেয়ারটি এখনও চ্যাট করতে পারে না, কোনও ম্যাচ শুরু করতে পারে না ইত্যাদি।

ক্লায়েন্ট তারপরে আপনার গেমের ডোমেনের লগইন ইউআরএলকে নির্দেশ করে বাহ্যিক ব্রাউজারটি আরম্ভ করে, এই সেশনের টোকনটি URL এ প্যারামিটার হিসাবে পাস করবে। সাইটটি তখন ফেসবুক / গুগলের জন্য সাধারণ লগইন হ্যান্ডশেকের মধ্য দিয়ে যায়।

এই মুহুর্তে, আপনার ওয়েবসভারটি জানেন যে ব্যবহারকারী লগ ইন করেছে এবং এটি ক্লায়েন্টের কাছ থেকে প্রাপ্ত সেশন টোকেনের সাথে সংযুক্ত করতে পারে। এই যাচাইকরণটি ক্লায়েন্টের অযোগ্য প্রমাণিত অতিথি সংযোগটিকে একটি প্রমাণীকৃত ব্যবহারকারী সেশনে উন্নীত করে গেম সার্ভারে যোগাযোগ করতে পারে। এটি সম্ভব হলে ওয়েব সার্ভারটি সরাসরি গেম সার্ভারের সাথে যোগাযোগ করার মাধ্যমে করা যেতে পারে। বা গেম সার্ভারটি পর্যায়ক্রমে মুলতুবি থাকা অতিথি সংযোগগুলির প্রমাণীকরণের স্থিতির জন্য ওয়েবসারভারটি পোল করতে পারে। অথবা ক্লায়েন্ট পর্যায়ক্রমে লগইনটি সম্পূর্ণ হয়েছে কিনা তা দেখার জন্য ওয়েবসভারটি পল করতে পারে এবং যখন এটি হয়, তখন ওয়েব সার্ভার থেকে যাচাইয়ের জন্য গেম সার্ভারকে সংকেত দেয় signal

এই সমস্তগুলির জন্য আপনার গেম সার্ভার এবং ওয়েবসার্ভার যোগাযোগ করতে সক্ষম হওয়া প্রয়োজন, তবে যে কোনও তৃতীয় পক্ষের প্রমাণীকরণ পরিষেবাটির জন্য আপনার গেম সার্ভারটি বাইরের বিশ্বের সাথে যোগাযোগ করতে সক্ষম হতে হবে, সুতরাং এটি অবাক হওয়ার মতো কিছু নয়।

এই প্রমাণীকরণ পদ্ধতিটি কয়েকটি ছোট থেকে মাঝারি আকারের এমএমওতে পাওয়া যায়।

নোট করুন যে এগুলি সমস্ত পেপাল, অ্যামাজন পেমেন্টস, গুগল ওয়ালেট ইত্যাদির মতো বাহ্যিক পরিষেবার মাধ্যমে অর্থ প্রদানের অনুরোধগুলি করার জন্যও কাজ করে that

সরাসরি টিএলএস সংযোগ

একটি কাস্টম স্ট্রিম প্রোটোকলের মাধ্যমে টিএলএস সেশন শুরু করা খুব কঠিন নয়। ওপেনএসএসএল, জ্ঞানটিএলএস, এনএসএস এবং বিভিন্ন ওএস-নির্দিষ্ট গ্রন্থাগারগুলির মতো লাইব্রেরিগুলি একটি স্ট্রিম র‌্যাপার এপিআই সরবরাহ করে যা নিম্ন স্তরের পরিবহন / প্রোটোকলের উপর স্তর রাখে। আপনার সাধারণত র‍্যাপার এপিআইয়ের মাধ্যমে বাইটগুলি খাওয়াতে হবে এবং এটি হ্যান্ডশেক এবং এনক্রিপশন নিয়ে কাজ করে।

এখানে জটিল অংশগুলি আপনার টিএলএস ব্যবহার নিরাপদ করে তা নিশ্চিত করছে uring উদাহরণস্বরূপ কয়েকটি সাধারণ গ্রন্থাগারগুলির জন্য ডিফল্টরূপে কোনও বিশ্বস্ত কর্তৃপক্ষের একটি বৈধ স্বাক্ষরযুক্ত শংসাপত্রের প্রয়োজন হয়। কিছু সাধারণ লাইব্রেরিগুলির এটির প্রয়োজন হয় তবে ডিফল্টরূপে কোনও কর্তৃপক্ষকে বিশ্বাস করবেন না। তাদের মধ্যে কিছুতে শংসাপত্রটি মোটেও বৈধ হওয়ার প্রয়োজন নেই।

এটি আপনাকে সর্বদা একটি বৈধ শংসাপত্রের প্রয়োজন বলে প্রস্তাবিত। অবৈধ শংসাপত্রের মঞ্জুরি দেওয়া এমন কোনও আক্রমণকারীকে কেবল পাসওয়ার্ড চুরি করতে দেয় না, তবে এটি মাঝারি-মধ্যবর্তী আক্রমণগুলিকে মঞ্জুরি দেয়।

এখনও সর্বাধিক সুরক্ষার অনুমতি দেওয়ার সময় এই পদ্ধতির বাহ্যিক নির্ভরতার ক্ষেত্রে নিখুঁত প্রয়োজন requires

এটি ব্যবহার করে গেমগুলির উদাহরণগুলিতে এখন বেশিরভাগ বড় traditionalতিহ্যবাহী এমএমও অন্তর্ভুক্ত।

সুরক্ষিত (ish) ditionতিহ্যবাহী গেমস

যে গেমগুলি একটি পৃথক পরিষেবা ব্যবহার করে না এবং টিএলএস ব্যবহার করে না তাদের সাধারণত তাদের প্রধান গেম প্রোটোকলে কিছু ধরণের ননস-ভিত্তিক লগইন প্রোটোকল প্রয়োগ করতে হয়। এই পদ্ধতির সাহায্যে সার্ভারটি একটি এলোমেলো সংখ্যা (একটি ননস) জেনারেট করে এবং ক্লায়েন্টকে তা প্রেরণ করে। ক্লায়েন্ট তারপরে ব্যবহারকারীর পাসওয়ার্ড (এবং ব্যবহারকারীর নাম, সম্ভবত কিছু অন্যান্য ডেটা) দিয়ে সেই ননসকে হ্যাশ করে এবং সেই প্রতিক্রিয়াটি সার্ভারে প্রেরণ করে। সার্ভার তারপরে এই হ্যাশ মানটি ফাইলের শংসাপত্রগুলির সাথে তুলনা করে। এটি ব্যবহারকারীর পাসওয়ার্ডটি তারের উপর সিক্রেট করে রাখে এবং এটি নিশ্চিত করে যে আপনি অন্যান্য অনেক দুর্বল হ্যাশ-ভিত্তিক লগইন স্কিমগুলির মতো হ্যাশ পাসওয়ার্ডে একটি সাধারণ রিপ্লে আক্রমণ ব্যবহার করতে পারবেন না।

একটি সমস্যা হ'ল ব্যবহারকারীর কাছে এই প্রোটোকলটি নিরাপদে নিরাপদে পরিষেবাতে নতুন পাসওয়ার্ড জমা দেওয়ার কোনও উপায় নেই। সাধারণ প্রয়োগগুলি ব্যবহারকারীর পাসওয়ার্ডটি সার্ভারে প্লেইন টেক্সটে সংরক্ষণ করে, যা একটি ভয়াবহ অনুশীলন (যদি আপনার সার্ভারটি হ্যাক হয়ে যায় তবে সম্ভবত আপনার ব্যবহারকারী তার ইমেল / ফেসবুক / ব্যাঙ্কের পাসওয়ার্ড চুরি করেছে, কারণ তিনি আপনার গেমের জন্য একই পাসওয়ার্ডটি ব্যবহার করছিলেন) অন্য কোথাও, কারণ ব্যবহারকারীরা এটি করার ঝোঁক রয়েছে)।

সেই বেসিক লগইন স্কিমের বর্ধিত সংস্করণ রয়েছে। সর্বাধিক প্রাথমিক - যদিও এখনও আদর্শভাবে সুরক্ষিত নয় - এটি সার্ভারের জন্য লগইন করার সময় ননস মান সহ পাসওয়ার্ড হ্যাশ লবণ প্রেরণ করা হয়। এটি সার্ভারটিকে ল্যাশ-ইন করার সময় ক্লায়েন্টকে একই হ্যাশ তৈরি করার অনুমতি দিয়ে সুরক্ষিতভাবে একটি হ্যাশড (এবং সল্টেড) পাসওয়ার্ড সংরক্ষণ করতে দেয়। এটি কোনও আক্রমণকারীকে কোনও নির্দিষ্ট ব্যবহারকারীর পাসওয়ার্ডের জন্য লবণ পাওয়ার অনুমতি দেয় তবে মূল হ্যাশ পাসওয়ার্ড না পেয়ে (যা লগইন করার সময় তারের মাধ্যমে প্রেরণ করা হয় না) এটি বিশেষভাবে কার্যকর নয়। পাসওয়ার্ড তৈরি / আপডেট করার সময়, ক্লায়েন্ট পুরো হ্যাশ পাসওয়ার্ড (লবণের সাথে) প্রেরণ করে, যা আক্রমণকারী শুকিয়ে নিতে পারে। ব্যবহৃত হ্যাশ ফাংশনটি যদি যথেষ্ট শক্ত হয় (তবে শ -2 / 512 বলুন) তবে খাঁটি ব্রুট জোর করা সম্ভব নয়, যদিও আক্রমণকারী এখনও সহজেই দুর্বল পাসওয়ার্ডগুলিকে জোর-জবরদস্তি করতে পারে (এজন্যই কিছু ন্যূনতম পাসওয়ার্ডের দৈর্ঘ্য প্রয়োগ করা, চিঠি / সংখ্যা / চিহ্নগুলির ন্যূনতম বিতরণ এবং জ্ঞাত / স্পষ্ট / দুর্বল পাসওয়ার্ডের একটি অভিধানের সাথে তুলনা করা গুরুত্বপূর্ণ)। আক্রমণকারীটি এখনও হ্যাশ পাসওয়ার্ড পেতে পারে তা এই কারণেই এটি সুরক্ষিত, এনক্রিপ্ট করা চ্যানেলের মাধ্যমে পুরো পাসওয়ার্ড এক্সচেঞ্জ করা আরও সুরক্ষিত।

বেশ কয়েকটি জনপ্রিয় গেম নেটওয়ার্কিং লাইব্রেরি এই প্রোটোকলের কিছু alচ্ছিক রূপ প্রয়োগ করে। আমি বিশ্বাস করি স্মার্টফক্স এটির একটি উদাহরণ, যদিও আমি এর গভীরতার দিকে নজর দিইনি (সাধারণত আমি এ জাতীয় কোনও লাইব্রেরী লেখক সিস্টেম উপেক্ষা করে এইচটিটিপিএস পদ্ধতি ব্যবহার করি, কারণ এটি কার্যকর করার জন্য এটি মৃত সহজ এবং উল্লেখযোগ্যভাবে শক্তিশালী)। বেশ কয়েকটি প্রাথমিক অ-ওয়েব ইন্টারনেট গেমগুলিও এই পদ্ধতিটি ব্যবহার করেছিল, বিশেষত স্টিম, এক্সবিএল এবং এর আগে প্রায়।

অনিরাপদ ditionতিহ্যবাহী গেমস

দুর্ভাগ্যক্রমে প্রচুর গেমস কেবল প্লেইন টেক্সটে একটি ব্যবহারকারী নাম / পাসওয়ার্ড প্রেরণ করে। হতে পারে তারা পাসওয়ার্ডটি হ্যাশ করে, যা অস্পষ্টভাবে ব্যবহারকারীদের প্রকৃত পাসওয়ার্ডকে সুরক্ষিত করে (প্রায় যথেষ্ট ভাল নয়) তবে একটি রিপ্লে আক্রমণ গেম পরিষেবাটিকে তুচ্ছ করে লগ ইন করে।

এটি করবেন না। এটি দায়িত্বজ্ঞানহীন এবং অলস। ১৯৯০-এর দশকের ইন্টারনেট অজানা যা এই লগইন পদ্ধতিগুলিকে জনপ্রিয় করে তুলেছে তা আর একটি কার্যকর অজুহাত নয়।

অনেক প্রারম্ভিক প্রাক-ফেসবুক ফ্ল্যাশ এবং ওয়েব গেম এই পদ্ধতি গ্রহণ করেছে। আমি আমার মাথার উপরের কোনও নির্দিষ্ট উদাহরণ জানি না; আমি বিশ্বাস করতে চাই তারা দীর্ঘকাল মারা গেছে, তবে পৃথিবী এতটা ভাগ্যবান নয়।

কোনও প্রমাণীকরণ নেই

বেশিরভাগ গেমগুলি কেবল প্রমাণীকরণ করে না। প্লেয়ার নিজেকে অনন্যভাবে সনাক্ত করতে কিছু হ্যান্ডেল প্রেরণ করে এবং একটি ম্যাচ শুরু হয়। এমন কোনও বিশ্বব্যাপী সার্ভার নেই যা যাচাই করার চেষ্টা করে যে কেবলমাত্র একজন প্রকৃত মানুষকেই "ক্যাপ্টেনমিস্টারডুড" হিসাবে দাবি করার অনুমতি দেওয়া হয়েছে। স্থানীয় সার্ভারটি নিশ্চিত করে যে বর্তমানে কেবলমাত্র সংযুক্ত খেলোয়াড়ের কোনও নির্দিষ্ট হ্যান্ডেল রয়েছে এবং এটি এর শেষ। স্থানীয় সার্ভারগুলি সমস্যা প্রস্তুতকারীদের জন্য নাম ভিত্তিক এবং আইপি-ভিত্তিক ব্ল্যাকলিস্টিং ব্যবহার করে। এটি আজও এফপিএস ডেথমেচ স্টাইল গেমগুলির জন্য সাধারণ।

যদি অ্যাকাউন্টগুলির জন্য আপনার কোনও স্থায়ী রাষ্ট্রের প্রয়োজন না হয় তবে এটি এখন পর্যন্ত সবচেয়ে সহজ সমাধান এবং বেশ "নিরাপদ" কারণ বাস্তবে হ্যাক বা চুরি করার মতো কিছুই নেই। স্পষ্টতই যদি গেম সেশনের মধ্যে আপনার অ্যাকাউন্টের তথ্য সংরক্ষণের প্রয়োজন হয় তবে এটি খুব ভাল কাজ করে না।

ভূমিকম্পটি "প্রমাণীকরণকারী" ব্যবহারকারীদের এই পদ্ধতিটি ব্যবহার করে একটি খেলার উদাহরণ।


1
আপনি এইচটিটিপিএস সম্পর্কে এত বেশি লেখেন কেন? এইচটিটিপি বিশেষত গেমিং প্রোটোকলের জন্য উপযুক্ত নয়। একটি টিএলএস টানেলের মধ্যে একটি উদ্দেশ্য-নির্মিত বাইনারি প্রোটোকল যাওয়ার উপায় হওয়া উচিত the
আআআআআআআআআআআআআআআআআআআআআআআহ

10
লগইনের জন্য? এটি পুরোপুরি উপযুক্ত। আপনি 30 বার / সেকেন্ড লগইন করবেন না। আপনি ক্লায়েন্ট শুরু করার পরে একবার লগইন করেন এবং তারপরে আপনার কাজ শেষ হয়। এইচটিটিপিএস লগইন একটি কুকি ফেরত দেয় যা উদ্দেশ্য-নির্মিত বাইনারি প্রোটোকল নিজেই পাসওয়ার্ডের প্রয়োজন ছাড়াই সংযোগটি প্রমাণীকরণ করতে ব্যবহার করে।
শান মিডলডিচ

1
এটি কোনও পারফরম্যান্স ইস্যু নয় এর অর্থ এই নয় যে এটি কোনও পুষ্পিত পদ্ধতির নয় যা অপ্রয়োজনীয় জটিলতা যুক্ত করে।
আআআআআআআআআআআআআআআআআআআআআআআআহ

4
আপনার প্রস্তাবিত পদ্ধতির বর্ণনা দিতে আমি সেই একই শব্দ ব্যবহার করব। প্রতিটি তার নিজস্ব. :)
শান মিডললেডিচ

2
সুতরাং আপনি কীভাবে একটি করে দুটি স্ট্রিং প্রেরণ করতে এবং 1 টি ফিরে পাওয়ার জন্য একটি সম্পূর্ণ এইচটিটিপি লাইব্রেরি অন্তর্ভুক্ত করবেন, বা আপনি কী এসকিপ সিকোয়েন্স হ্যান্ডলিং সহ প্রয়োজনীয় এইচটিটিপি সাবসেটটি নিজে প্রয়োগ করবেন?
আআআআআআআআআআআআআআআআআআআআআআআআআআআ

3

এসএসএল ক্লায়েন্টদের একটি পরিচিত সিএ দ্বারা স্বাক্ষরিত একটি সার্ভার-শংসাপত্র ব্যবহার করে, "ভুয়া" সার্ভার বনাম বৈধ সার্ভারগুলি সনাক্ত করতে সহায়তা করবে clients আমি দৃ strongly়ভাবে সন্দেহ করি যে বেশিরভাগ গেমস এটি করতে বিরক্ত করে না।

তবে তারা চাইবে এমন ভাল কারণ রয়েছে। কিছু লাইসেন্সিং এড়ানো / প্রতারণামূলক পদ্ধতিগুলি দুর্বৃত্ত সার্ভার, বা "মাঝখানে মানুষ" সার্ভার ব্যবহার করে কাজ করতে পারে।

আমি আশা করি স্টিম এবং মাইক্রোসফ্টের মতো বড় মাল্টিপ্লেয়ার নেটওয়ার্কগুলির অভ্যন্তরীণ সুরক্ষা রয়েছে।

ওয়েব-ভিত্তিক গেমটি কেবল এইচটিটিপিএস ব্যবহার করতে পারে, তবে আমি জানি না যে এটি ওয়েবসকেটগুলির জন্য কাজ করে (একটি তুচ্ছ গুগলের উত্তর দেওয়া উচিত)।

আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.