Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

Ajouter une sécurité ssl sur le dofus invoker ?

Fallen

Bonjour,

j'ouvre un petit débat sur le fait est ce que ça serait utile de faire une connexion crypté en ssl à rajouter dans le DofusInvoker pour se co au serveur privé sous Stump ou autre émulateur ? :p

Cordialement Waawi

BlueDream

Très bonne idée, mais ce n'est pas nouveau, Ankama y a déjà songé.

C'était visible dans le paquet SelectedServerDataMessage jusqu'à la 2.28, il existait une variable bool ssl.

Cela pourrait être intéressant de retravailler sur une de ces versions.

Le SSL risque de compliquer la tâche des MITM et des gens voulant modifier les données envoyées par le client.

Pourquoi ne pas tenter ce dans quoi Ankama a échoué ?

En cadeau, la version 2.28.0.94167.1 qui contient des traces de SSL ( c'est la version la plus récente du ssl que je possède, à vérifier ) ;)

https://www.dropbox.com/s/v7dh3ck2sik4zvz/DofusInvoker 2.28.0.94167.1.rar?dl=1

Fallen

BlueDream
Très bonne idée, mais ce n'est pas nouveau, Ankama y a déjà songé.
C'était visible dans le paquet SelectedServerDataMessage jusqu'à la 2.28, il existait une variable bool ssl.
Cela pourrait être intéressant de retravailler sur une de ces versions.
Le SSL risque de compliquer la tâche des MITM et des gens voulant modifier les données envoyées par le client.
Pourquoi ne pas tenter ce dans quoi Ankama a échoué ?
En cadeau, la version 2.28.0.94167.1 qui contient des traces de SSL ( c'est la version la plus récente du ssl que je possède, à vérifier ) ;)
https://www.dropbox.com/s/v7dh3ck2sik4zvz/DofusInvoker 2.28.0.94167.1.rar?dl=1

J'avais déjà vu ça en 2.26 effectivement mais la variable bool ne menait à rien c'était dommage je vais essayer de faire de mon mieux et peut -être pourquoi pas partagé ça avec la communauté :p

cette idée m'est sortie de la tête en voyant justement cette maudite variable inutilisé x)

En espérant que cela va aboutir à quelque chose :p

voici un lien pour ceux qui voudrait aussi tester l'aventure dans le cryptage ssl :D

http://help.adobe.com/en_US/FlashPlatform/reference/actionscript/3/flash/net/SecureSocket.html

NicoMasterChief

C'est quoi l'intérêt de faire ça sur un serveur privé ?

Fallen

NicoMasterChief
C'est quoi l'intérêt de faire ça sur un serveur privé ?

ça te permetterais d'éviter les bots comme je bosse sur un projet qui est censé suivre l'officiel mais aussi le cryptage de packet pour éviter que des petits malin s'amuse à utiliser Wpe Pro ^^

Sorrow

SSL est uniquement là pour "évité" les MITM (dans le sens de vole de compte), chose inutile car les credentials sont déjà chiffrés.

Il sera toujours possible de modifier la clé côté client pour ce connecté au MITM et sur celui-ci re-chiffré avec la vrai clé d'Ankama.

Pour moi c'est juste une perte de temps en développement du support SSL et des paquet légèrement plus volumineux.

Fallen

Sorrow
SSL est uniquement là pour "évité" les MITM (dans le sens de vole de compte), chose inutile car les credentials sont déjà chiffrés.
Il sera toujours possible de modifier la clé côté client pour ce connecté au MITM et sur celui-ci re-chiffré avec la vrai clé d'Ankama.
Pour moi c'est juste une perte de temps en développement du support SSL et des paquet légèrement plus volumineux.

Donc impossible de cacher la clé pour éviter tout ça ?

Sorrow

Non, il existeras toujours un moyen d'obtenir/changer.

Fallen

Sorrow
Non, il existeras toujours un moyen d'obtenir/changer.

ce serait il possible que le serveur définisse la clé et l'envoi au client qui l'a traite et l'utilise ?

Sorrow

Dans ce cas tu met un MITM qui intercepte la clé et la modifie, tu simplifie la chose ducoup ^^

Fallen

Sorrow
Dans ce cas tu met un MITM qui intercepte la clé et la modifie, tu simplifie la chose ducoup ^^

xD j'avais pas pensé à ça x)

Moonlight-Angel

C'est simple. Si la cle arrive dans les mains du client (par n'importe quel moyen), un autre client pourra mettre la main dessus aussi.

BlueDream

Vu que c'est du swf, on pourra toujours décompiler ton client.

Fallen

BlueDream
Vu que c'est du swf, on pourra toujours décompiler ton client.

et obfusqué au maximum les sources à l'endroit ou la clé est generer dans le client ?

mais je vais pas abandonné je vais essayé de trouver une solution x)

Sorrow

Même obfusqué, avec le bytecode SWF on pourra toujours reverse pour retrouvé la clé ou le fonctionnement de la protection, ça sera juste un peu plus long, mais pas impossible.

Pour exemple l'anti bot est obfusqué de manière assez chiante, ça na pas empêcher de comprendre le fonctionnement.

Fallen

Sorrow
Même obfusqué, avec le bytecode SWF on pourra toujours reverse pour retrouvé la clé ou le fonctionnement de la protection, ça sera juste un peu plus long, mais pas impossible.
Pour exemple l'anti bot est obfusqué de manière assez chiante, ça na pas empêcher de comprendre le fonctionnement.

Donc voici ma dernière idée car après je serais à sec x)

Admettons, le client se connecte avec la sécurité ssl il génère donc la clé et si le DofusInvoker a été touché je peux faire un CheckFileRequestMessage, mais si encore le bot a décidé de berner le serveur en interceptant le message et en lui renvoyant les bonnes informations, je me suis dit de faire une double connexion Socket grâce à l'updater ^^ qui lui aussi ce connectera en ssl au serveur et donc le serveur fera une demande au client (ou le bot) et à l'updater.

je ne sais pas ce que vous pensez de cette idée mais c'est la seul qui me reste x)

Sorrow

Du coup tu oblige les joueurs à passé par l'updater ? Beaucoup passent directement par Dofus.exe

Fallen

Sorrow
Du coup tu oblige les joueurs à passé par l'updater ? Beaucoup passent directement par Dofus.exe

bah je les force juste à lancer juste l'updater de toute façon ils seront quand même obliger à lancer l'updater pour avoir les mise à jour

après ça ne reste qu'une idée ^^