Autre Ajouter une sécurité ssl sur le dofus invoker ?

[Fallen]

Bonjour,

j'ouvre un petit débat sur le fait est ce que ça serait utile de faire une connexion crypté en ssl à rajouter dans le DofusInvoker pour se co au serveur privé sous Stump ou autre émulateur ?

Cordialement Waawi

 

[BlueDream]

Très bonne idée, mais ce n'est pas nouveau, Ankama y a déjà songé.
C'était visible dans le paquet SelectedServerDataMessage jusqu'à la 2.28, il existait une variable bool ssl.
Cela pourrait être intéressant de retravailler sur une de ces versions.

Le SSL risque de compliquer la tâche des MITM et des gens voulant modifier les données envoyées par le client.
Pourquoi ne pas tenter ce dans quoi Ankama a échoué ?

En cadeau, la version 2.28.0.94167.1 qui contient des traces de SSL ( c'est la version la plus récente du ssl que je possède, à vérifier )
https://www.dropbox.com/s/v7dh3ck2sik4zvz/DofusInvoker 2.28.0.94167.1.rar?dl=1

 

[Fallen]

Très bonne idée, mais ce n'est pas nouveau, Ankama y a déjà songé.
C'était visible dans le paquet SelectedServerDataMessage jusqu'à la 2.28, il existait une variable bool ssl.
Cela pourrait être intéressant de retravailler sur une de ces versions.

Le SSL risque de compliquer la tâche des MITM et des gens voulant modifier les données envoyées par le client.
Pourquoi ne pas tenter ce dans quoi Ankama a échoué ?

En cadeau, la version 2.28.0.94167.1 qui contient des traces de SSL ( c'est la version la plus récente du ssl que je possède, à vérifier )
https://www.dropbox.com/s/v7dh3ck2sik4zvz/DofusInvoker 2.28.0.94167.1.rar?dl=1

J'avais déjà vu ça en 2.26 effectivement mais la variable bool ne menait à rien c'était dommage je vais essayer de faire de mon mieux et peut -être pourquoi pas partagé ça avec la communauté

cette idée m'est sortie de la tête en voyant justement cette maudite variable inutilisé x)
En espérant que cela va aboutir à quelque chose

voici un lien pour ceux qui voudrait aussi tester l'aventure dans le cryptage ssl
http://help.adobe.com/en_US/FlashPlatform/reference/actionscript/3/flash/net/SecureSocket.html

 

[NicoMasterChief]

C'est quoi l'intérêt de faire ça sur un serveur privé ?

 

[Fallen]

C'est quoi l'intérêt de faire ça sur un serveur privé ?

ça te permetterais d'éviter les bots comme je bosse sur un projet qui est censé suivre l'officiel mais aussi le cryptage de packet pour éviter que des petits malin s'amuse à utiliser Wpe Pro ^^

 

[Sorrow]

SSL est uniquement là pour "évité" les MITM (dans le sens de vole de compte), chose inutile car les credentials sont déjà chiffrés.
Il sera toujours possible de modifier la clé côté client pour ce connecté au MITM et sur celui-ci re-chiffré avec la vrai clé d'Ankama.
Pour moi c'est juste une perte de temps en développement du support SSL et des paquet légèrement plus volumineux.

 

[Fallen]

SSL est uniquement là pour "évité" les MITM (dans le sens de vole de compte), chose inutile car les credentials sont déjà chiffrés.
Il sera toujours possible de modifier la clé côté client pour ce connecté au MITM et sur celui-ci re-chiffré avec la vrai clé d'Ankama.
Pour moi c'est juste une perte de temps en développement du support SSL et des paquet légèrement plus volumineux.

Donc impossible de cacher la clé pour éviter tout ça ?

 

[Sorrow]

Non, il existeras toujours un moyen d'obtenir/changer.

 

[Fallen]

Non, il existeras toujours un moyen d'obtenir/changer.

ce serait il possible que le serveur définisse la clé et l'envoi au client qui l'a traite et l'utilise ?

 

[Sorrow]

Dans ce cas tu met un MITM qui intercepte la clé et la modifie, tu simplifie la chose ducoup ^^

 

[Fallen]

Dans ce cas tu met un MITM qui intercepte la clé et la modifie, tu simplifie la chose ducoup ^^

xD j'avais pas pensé à ça x)

 

[Moonlight-Angel]

C'est simple. Si la cle arrive dans les mains du client (par n'importe quel moyen), un autre client pourra mettre la main dessus aussi.

 

[BlueDream]

Vu que c'est du swf, on pourra toujours décompiler ton client.

 

[Fallen]

C'est simple. Si la cle arrive dans les mains du client (par n'importe quel moyen), un autre client pourra mettre la main dessus aussi.

Vu que c'est du swf, on pourra toujours décompiler ton client.

et obfusqué au maximum les sources à l'endroit ou la clé est generer dans le client ?
mais je vais pas abandonné je vais essayé de trouver une solution x)

 

[Sorrow]

Même obfusqué, avec le bytecode SWF on pourra toujours reverse pour retrouvé la clé ou le fonctionnement de la protection, ça sera juste un peu plus long, mais pas impossible.
Pour exemple l'anti bot est obfusqué de manière assez chiante, ça na pas empêcher de comprendre le fonctionnement.

 

[Fallen]

Même obfusqué, avec le bytecode SWF on pourra toujours reverse pour retrouvé la clé ou le fonctionnement de la protection, ça sera juste un peu plus long, mais pas impossible.
Pour exemple l'anti bot est obfusqué de manière assez chiante, ça na pas empêcher de comprendre le fonctionnement.

Donc voici ma dernière idée car après je serais à sec x)

Admettons, le client se connecte avec la sécurité ssl il génère donc la clé et si le DofusInvoker a été touché je peux faire un CheckFileRequestMessage, mais si encore le bot a décidé de berner le serveur en interceptant le message et en lui renvoyant les bonnes informations, je me suis dit de faire une double connexion Socket grâce à l'updater ^^ qui lui aussi ce connectera en ssl au serveur et donc le serveur fera une demande au client (ou le bot) et à l'updater.
je ne sais pas ce que vous pensez de cette idée mais c'est la seul qui me reste x)

 

[Sorrow]

Du coup tu oblige les joueurs à passé par l'updater ? Beaucoup passent directement par Dofus.exe

 

[Fallen]

Du coup tu oblige les joueurs à passé par l'updater ? Beaucoup passent directement par Dofus.exe

bah je les force juste à lancer juste l'updater de toute façon ils seront quand même obliger à lancer l'updater pour avoir les mise à jour
après ça ne reste qu'une idée ^^