1:修改密码、自助封停、官方封停后客户端即时下线
目前系统,修改密码、自助封停、客户端封停后,游戏依然继续运行,要求这些操作生效后,马上将客户端下线,目前必须在其他的客户端登录,才能踢掉在线的盗号人员,这是非常浪费时间的,要求这些安全信息修改后,在线用户必须重新登陆!
2:修改网页登录机制
用http抓包工具一看,就知道网页客服、用户登录等,帐号和密码居然采用明文!
TextBox1=XXXXXXXXXXX&UserLogin1%24TextBox2=XXXXXXXXXX
上面的XXXXXXXX居然就是用户的帐号和密码!!!,这样一来,所有在公共场所的登陆,都是非常非常不安全的,比如网吧,比如公司,即使是私家场所,比如个人电脑,登陆也要通过各个路由网关,随便哪个人在其中的一个关口卡一下,那你的所有账号和密码对他都是公开的!!
问一下柏油的开发人员里面,你们有学过安全或加密的吗?我没学过,可我没学过也能轻松的看出其中的问题!!!哪有这么搞登录的!!
3:交易前实时确认用户的交易权限
根据目前的状况看,用户一旦输入成功二级密码或者身份证保护,过了安全时间,那么游戏客户端就会设置一个(或几个)标志,有了这个标志,就可以进行任何交易,这是不对的,如果人为地修改了这个标志为真,那么即使用户不输入二级密码或者身份证保护,或者没有过安全时间,那他也一样可以进行交易!
更好的做法,应该在一次交易前,将用户输入过的安全信息,比如用户帐户、密码、二级密码、身份证保护等,提交服务器进行验证,验证成功才能进行本次交易,当然,客户端这些信息以及提交给服务器的内容,也不能是明文的,必须是经过加密的。
还有,我还没有测试过游戏客户端的登陆及密码机制甚至服务器的用户密码存储是不是明文的,过去了这么多的事件,我有理由相信这些全都是明文,从最基本的安全机制角度讲,服务器不应该存储用户的密码,仅仅存储MD5值,用户登录,只要MD5值匹配,就能够确认用户的身份,这样,别人获取了服务器的用户信息,没有密码他们也无法进行登录
4:工会战出来模式修改为种族模式
一直以来,工会站出来模式都是工会模式,这样,蹩脚的盗号人员就可以进入公会战出来后杀人红名,再被杀爆掉被盗号人的随身物品
5:建立商业同盟机制
两人之间可以建立商业同盟,经过七天考察期,商业同盟才能正式成立。任何非绑定物品可以上安全锁,上锁的物品交易,双方必须是商业同盟,物品想解除安全锁,必须经过七天的时间
