Bangert @ 28.8.2012
Про угрозу безопасности аккаунта от запросов через лобби - это чушь какая-то, не понимаю какая тут может быть угроза.
Угроза такая, что, теоретически, если с его компьютера перехватывают запросы от клиента к серверу(причем перехватывают внедрением на ЕГО компьютер вируса и поднятием на ЕГО пк прокси сервера через localhost., почему именно на его машине? - потому что перехватывать траффик вне машины смысла нет, ибо у старзов он шифруется), то в этом случае злоумышленники могут теоретически запросы воспроизвести(самим запросить аудит) или подделать(напр сделать трансфер на левый акк) и всё это не вводя логин и пароль на другом пк. Подделать запросы можно, взяв session_id и взяв порядковый request_id, прибавив к нему +1 шаг. Почему я два раза сказал "Теоретически", потому что я не знаю что там у клиента старзов, как величины называются, каков шаг и т.п., не смотрел, если честно, но уверен на 99%, что задача будет для хакера крайне нетривиальной, скорее всего там не всё так просто и как минимум еще есть проверка на целостность, т.е. придется для начала вычислить как задается алгоритм целостности(md5, или что, не знаю, может вообще у них еще внутристарзовский алгоритм есть), а потом, после вычисления, его придется рассчитать с измененными исходными данными, а расчеты могут быть гораздо сложнее вычисления, потому что потребуется специальный софт, которого скорее всего нет нигде, т.к. он для внутреннего использования. К тому же, обычно сервер клиенту выставляет тайминг всего несколько секунд, после истечения которых request_id аннулируется и нужно вводить следующий шаг, это еще фигня, но вот после не получения сервером отчетов о паре отправленных запросов произойдёт disconnect или logout, и нужно будет ждать следующего подключения для выяснения нового session_id, что в свою очередь приведет к пересчету целостности и т.п.
Со стороны хакеров попытка выполнить вышеописанные танцы с бубном с кучей неизвестных переменных была бы верхом мазохизма, т.к. если ты можешь внедрять на атакуемую машину вирусы, то нафига всё вышеописанное нужно делать, не проще ли внедрить кейлоггер?
Короче, если по-русски, либо у парня паранойа 80лвл(в сочетании со слабым знанием матчасти), либо он что-то не договаривает(скорее всего пропил деньги дольщиков).
Kirill_ur @ 28.8.2012
Пусть Siton скинет ТС-у Hmarchive за небольшой период времени( на выбор ТС-а), если там кол-во R+A будет рвавным данным из отчёта, значит обмана нет, если же нестыковочка-то есть.правда придётся помучаться с реплейером, т.к. по крайней мере у меня в ХМ ребаи аддоны криво показываются.
А как тебе такой вариант, что он изначально всю базу Hmarchive подделает, а потом вышлет любой кусок на выбор аудитора? Тут решает только ссылка на официальный аудит.
Leo_Manowar @ 27.8.2012
2. Если уж ты все равно согласился показать файл аудита, почему бы тебе не обратиться в службу поддержки Старзов с объяснением возникшей ситуации и просьбой выслать этот файл на имейл дольщика с их почтового ящика? Я не уверен, что саппорт пойдет на встречу, но попытка - не пытка. Это стало бы простейшим способом доказательства твоей правоты.
Опять же, адрес отправителя email'a можно подделать, тут решает только ссылка на сервер старзов. Причем именно на сервер *pokerstars.com/*, а не на какой-нибудь левый файлообменник.
----
Мое сердце мне говорит, что Дима Ситников хороший в жизни человек. Посмотрите, разве может это доброе лицо быть плохим? Наверное он просто запутался...
А если серьезно, я считаю, что страна должна знать подобных людей(вроде Димы) в лицо. Деанонимизация - отличное лекарство, которое успокаивает нервы(способствует более вежливому онлайн общению), а также поднимает уровень счастья пациента(как следствие ускоренной отдачи долгов). Правда, от этого лекарства бывают побочные эффекты, вроде "***здюлей" или "полного дизреспекта от окружающих", но куда уж на 100% деться от побочных эффектов? Они есть везде! Это проблема современной фармакологии, а не отдельного лекарства.
Я знаю, ты это читаешь, поэтому спрошу тебя. Дима, ты думаешь, что написал свой пост ни о чем и теперь можно убежать, т.к. никому ничего не должен?
Пока мы видим лишь долг 900$ и нежелание их отдать. Каково тебе будет придти в кафе, попить кофе, съесть десерт и дав 5000 купюру узнать, что сдачи не будет, т.к. на самом деле кофе и десерт стоили по прайсу 500руб, а сахар в кофе в прайсе не указан, но он есть и стоит 4500руб, а никаких чеков тебе давать не будут, потому что а) ты не попросил его в момент того, когда пил, б)это коммерческая тайна и сотрудники не обязаны её разглашать - как, приятно будет?
Так что, Дима, одумайся, ты тут столько в арбитраже флудил, призывал людей к морали, говорил, что пропадать плохо и т.п. - будь последовательным! Сам не пропадай! Если пропадешь, то чему равны твои слова после этого, как думаешь? Подсказываю - слова будут равны нулю, мужчины так не поступают.