जवाब
- SRP - सिक्योर रिमोट पासवर्ड - यह डिफी-हेलमैन पर आधारित है। विचार यह है कि आप वास्तव में कभी भी पासवर्ड को स्थानांतरित किए बिना एक पारस्परिक पासवर्ड जांच कर सकते हैं या इसे प्राप्त करने के लिए उपयोग की जा सकने वाली कोई भी जानकारी। हालांकि यह तार पर सुरक्षित है, फिर भी आपको हैश और अपने पासवर्ड को नमक करना चाहिए क्योंकि आपके सर्वर को कभी भी उन्हें सादे पाठ में संग्रहीत नहीं करना चाहिए ।
- एसआरपी का लाभ यह है कि एक बार इसे पूरा करने के बाद यह आपको एक पारस्परिक रूप से बातचीत की एन्क्रिप्शन कुंजी भी देता है जो एक हमलावर को आपके द्वारा हस्तांतरित किए गए डेटा को कम करने में सक्षम नहीं होता। इसका मतलब है कि उपयोगकर्ता प्रमाणित होने के बाद आप एक सममित एन्क्रिप्शन एल्गोरिथ्म (जैसे एईएस) का उपयोग करने के लिए स्वतंत्र हैं।
- मान लें कि आप UDP का उपयोग अपने विश्वसनीय / आदेशित (कनेक्शन-उन्मुख) कार्यान्वयन में कर रहे हैं, इसके शीर्ष पर: पूरे UDP प्लेलोड को एन्क्रिप्ट करें - जिसमें आपका 'पैकेट अनुक्रम संख्या' भी शामिल है। यदि आपका सिस्टम सही तरीके से डिज़ाइन किया गया है, तो यह स्वचालित रूप से रिप्ले किए गए संदेशों को अस्वीकार कर देगा और एक घुसपैठिया पैकेट अनुक्रम संख्या को बदलने में सक्षम नहीं होगा क्योंकि यह एन्क्रिप्टेड है (इस तरह एक रिप्ले संभव है - लेकिन यह स्वचालित रूप से अनदेखा किया जाएगा)।
विचार
क्या आपका प्रमाणीकरण सुरक्षित होना चाहिए? पूर्ण रूप से। जब कोई पासवर्ड विचाराधीन हो, तो सुरक्षा के संदर्भ में कोई समझौता न करें। इस प्रकार आपको निश्चित रूप से मेरे जवाब में पहली गोली पर विचार करना चाहिए।
क्या आपका डेटा सुरक्षित होना चाहिए? केवल अगर यह एक इन-गेम खरीद / माइक्रो-लेन-देन है - और फिर HTTPS की तरह सिर्फ कुछ आजमाया हुआ और सच क्यों नहीं है। अपने गेम ट्रैफ़िक को एन्क्रिप्ट करना निम्नलिखित कारणों से व्यवहार्य समाधान नहीं है:
- यह पूर्ण व्यामोह है।
- यह आपके सर्वर पर सीपीयू टाइम ओवरहेड जोड़ने जा रहा है, जब तक आप हार्डवेयर एन्क्रिप्शन मॉड्यूल (महंगे) खरीद नहीं सकते।
- इससे कोई फर्क नहीं पड़ता कि आप तार पर अपने डेटा के लिए कितनी सुरक्षा प्रदान करते हैं - कोई व्यक्ति क्लाइंट प्रक्रिया को हाईजैक कर सकता है और संदेशों को एन्क्रिप्ट करने और भेजे जाने से पहले संदेशों को रोक सकता है। यह न केवल एक संभावना है बल्कि असीम रूप से अधिक संभव है क्योंकि यह पर्याप्त रूप से संभव है इंटरसेपिंग पैकेट की तुलना में कोड को इंजेक्ट करना आसान है। यदि आप इसे धोखा रोकथाम के लिए कर रहे हैं तो आप पूरी तरह से और अपना समय बर्बाद कर रहे हैं।
- पासवर्ड सुरक्षा के संदर्भ में दुर्भाग्य से कुछ भी नहीं है जो आप एक अपहृत प्रणाली के बारे में यथोचित कर सकते हैं, क्लाइंट शत्रुतापूर्ण हो गया है। बर्फ़ीला तूफ़ान डोंगल इससे निपटने के लिए डिज़ाइन किया गया है - लेकिन मुझे यकीन नहीं है कि यह कितना सुरक्षित है (खासकर यदि आप इसे प्लग इन करते हैं तो छोड़ दें)।
कृपया, यदि आप धोखा रोकथाम के लिए एन्क्रिप्ट कर रहे हैं तो इसे छोड़ दें। आप कम आने जा रहे हैं - मैंने आपको इस घटना की जानकारी दी है कि आप नहीं हैं। याद रखें कि आप पैकेट में पहले बाइट द्वारा चुनिंदा तरीके से पैकेट को एन्क्रिप्ट कर सकते हैं और इस बात के सूचक हैं कि क्या बाकी एन्क्रिप्टेड है: हालांकि, एक बार फिर, मैं HTTPS से चिपक जाऊंगा अगर आपको क्रेडिट कार्ड लेनदेन जैसी चीजें करने की आवश्यकता होती है: वे बेहद संक्रामक और HTTPS को विशेषज्ञों द्वारा डिज़ाइन किया गया है - आपके द्वारा डिज़ाइन किए गए किसी चीज़ के विपरीत।
उस सभी ने कहा, बर्फ़ीला तूफ़ान वास्तव में उनके वाह यातायात को एन्क्रिप्ट करता है। इसका मुख्य कारण यह है कि कोई है, जो पूरी तरह से शौकिया होने की संभावना है, ने फैसला किया कि वे घर-घर एन्क्रिप्शन एल्गोरिथ्म में अपना हाथ आज़माएंगे; यह वास्तव में अच्छी तरह से बाहर panned । यहां तक कि अगर आप उद्योग मानक एल्गोरिदम का उपयोग करते हैं, तो भी एक अच्छा मौका है कि कोई आपके कोड को रिवर्स-इंजीनियर करेगा और इसका अनुकरण करेगा - एक बार जब ग्राहक अपना पासवर्ड दर्ज करता है तो कोई भी यह नहीं बताता है कि एक असमर्थित सिस्टम जुड़ा हुआ है।