RedHelium RedHelium

Jusper, Планируется в стим, но под издательством кого-нибудь. На счёт портирования на мобильные платформы пока не планировал

Jusper Jusper

RedHelium,

Игра планируется на стим? Если на телефон, то пост-эффекты будут лагать как сволочь)

RedHelium RedHelium

Jusper, Также немного переработан персонаж, некоторые объекты окружения. Помимо этого планируется ещё добавление различных интерактивных предметов и дополнительная работа над дизайном уровня! Также есть дополнительные пост...

Jusper Jusper

Я большую разницу в работе со светом.
Не понимаю, наверное это еще постэффекты.

alexprey alexprey

А вот и результаты первого забега.

...
Dreaman Dreaman

TheDarkestRed,

Красивый и атмосферный получился :)

RedHelium RedHelium

alexprey, Спасибо, рад стараться :)

TheDarkestRed TheDarkestRed

Концепт арт лесной локации The Darkest Red 🎮 🌲 🌘

...
id66243826 id66243826

Первый трейлер игры, больше похоже на нарезку но все же =) Так же было выпущено обновление, и теперь есть возможность покупать персонажей.
Решил немного разнообразить механики, добавлены двери и ключи,...

...
alexprey alexprey

RedHelium, стиль необычайно хорош)

RedHelium RedHelium

Вновь взялся за свой проект под названием "Stalkmech". Понемногу начал перерабатывать уровни, а также интерфейс.
Моя группа ВК: https://vk.com/redheliumgames

Jusper Jusper

Закрепили с GenElCon успех боем на островной карте.

  • Против нас были: Турция и Россия (на сложности Невозможный)
  • Время ненападения: Отсутствует
  • ...
ruggaraxe ruggaraxe

alexprey, будем ждать фидбэк! Я надеюсь вы заметите множество улучшений! 😎

alexprey alexprey

Ура! Обязательно поиграем. Но блиииннн... Опять пауки... Арахнофобия и в играх не дает покоя 😂
Режимы это круто, мне не хватало лайт версия для побродить!

Jusper Jusper

alexprey,

надеюсь в мою хату завезут нормальный интернет и у меня получится постримить :D

Jusper Jusper

Перенес в проект, вместо раздела game-design. Завтра заценим, че как :)

alexprey alexprey

ruggaraxe, это вообще одна из моих первых игр, после дума конечно же 😂😂😂

Сейчас в стиме по скидосу, прикупил,надеюсь свезет и поучавствую в подобной движухе)

Jusper Jusper

ruggaraxe, они, собственно, и сделаны были на основе 1-й части, можно сказать энтузиастами студии, которые топили за геймплей первой части. Вторая радикально отличалась и темпом геймплея, и сложностью освоения...

ruggaraxe ruggaraxe

Крутяк! 15 лет назад была любимой стратегией. 3 часть выглядит круто, стиль такой же как и во всех первых частях.

Логотип проекта Программирование

CSRF — обезопасить запрос с помощью токена

От распространённых уязвомостей, вроде SQL инъекций, я свой сайт более-менее защитил. Теперь вот узнал о такой уязвомости, как Сross Site Request Forgery. Рекомендуемое решение — добавление в параметр запроса некоего "токена".

Вопрос: чем является этот токен и как его использовать? Генерировать какое-то случайное значение и передавать его сначала в запрос, а потом сравнивать на сервере? Как правильно это значение генерировать? Как правильно его добавлять к запросу?

Ответ

bladget, ну так если у тебя уже используется POST запрос, то речи о CSRF и быть не может. Соль этой штуки в том, что у тебя какие то действия выполняются через обычную ссылку, например - удаление всех сообщений почты происходит по ссылке

http://some.com/mail/?do=remove&scope=all

ты берешь на другом сайте и этому юзеру вставляешь картинку

[img]http://some.com/mail?do=remove&score=all[/img]

все это рендерится вот в это

<img src="http://some.com/mail?do=remove&score=all">

браузер видит картинку, начинает её грузить по этому адресу, он отправляет запрос

GET /mail?do=remove&score=all HTTP1.0
Host: some.com
Referer: no-name.com
Cookies: {cookie for some.com}

сервер это принимает, смотрит куки, видит что юзер авторизован. И начинает выполнять свои действия, потом отправляет результат обратно

{какой то хеадер ответа}

<h2>All messages from you mailbox are removed.</h2>

в результате:
картинка не отобразилась, потому что браузер получил не картинку
у юзера удалились все его сообщения из почтого ящика, и он этого не заметил
В этом и суть CSRF

Смотрите также:


Комментарии



На твоем сайте просто ссылку на действие поставляй со случайным токеном и сохраняй его, для какого пользователя и на какое действие, а потом проверяй. После использования токен удалять и можно будет использовать снова. Таким образом злоумышленник не сможет подделать запрос. т.к. присутствует случайная величина. Кст да, после неправильного действия (если параметры токена не совпали), токен тоже надо удалять. А вообще это все конечно красиво, но гораздо проще проверять в хедере Referer. Хотя на мой взгляд лучше использовать обе техники


еще вспомнил. Можно использовать POST запросы для такого. Пост запрос так же через ссылку не подделаешь. Так 100% надежно

alexprey,

гораздо проще проверять в хедере Referer

Читал что пользователь может как-то отключить Referrer'ы, что делает невозможным проверку, поэтому должно использовать токены. Может я что-то напутал?

Можно использовать POST запросы для такого. Пост запрос так же через ссылку не подделаешь. Так 100% надежно

Честно говоря я не понял. В данный момент у меня сделано так: для каждой формы генерируется уникальная пара ключ/значение, которая передаются вместе с данными формы и сравниваются скриптом-обработчиком формы. (для GET запросов я токены не использую). Пара хранится в сессии и очищается, естественным образом, после окончания сессии. Я думал сделать так, чтобы пара генерировалась каждый запрос новая, но пока времени не было. Доделаю, когда займусь шифрованием полей формы.

bladget, ну так если у тебя уже используется POST запрос, то речи о CSRF и быть не может. Соль этой штуки в том, что у тебя какие то действия выполняются через обычную ссылку, например - удаление всех сообщений почты происходит по ссылке

http://some.com/mail/?do=remove&scope=all

ты берешь на другом сайте и этому юзеру вставляешь картинку

[img]http://some.com/mail?do=remove&score=all[/img]

все это рендерится вот в это

<img src="http://some.com/mail?do=remove&score=all">

браузер видит картинку, начинает её грузить по этому адресу, он отправляет запрос

GET /mail?do=remove&score=all HTTP1.0
Host: some.com
Referer: no-name.com
Cookies: {cookie for some.com}

сервер это принимает, смотрит куки, видит что юзер авторизован. И начинает выполнять свои действия, потом отправляет результат обратно

{какой то хеадер ответа}

<h2>All messages from you mailbox are removed.</h2>

в результате:
картинка не отобразилась, потому что браузер получил не картинку
у юзера удалились все его сообщения из почтого ящика, и он этого не заметил
В этом и суть CSRF

alexprey,

А разве пользователь не может отредактировать атрибуты input'ов в форме и отправить то же самое?
+
Хотя в таком случае какой смысл делать токен? >_<

bladget, может, но речь идет не об этом. Ты сейчас говоришь о простой валидации инпута, смотри вше что я тебе написал. Речь идет о том, что кто-то чужой, который не имеет доступа к этой ссылке подсунул тебе, а ты даже и не заметил этого. Если я тебе плохо объяснил все в прошлом посте, попробуй почитать на вики

alexprey,

Я уже много где читал, в т. ч. на Вики. Видимо где-то приянл во внимание вредный совет. Я всё понял, спасибо.

Возможность добавлять комментарии была ограничена