Comments.blogs

Покупка IAP бесплатно

13 Jul 2012 15:12
+2
(Текст записи скрыт. Показать...)
Русский чел поигравшись в CSR Racing, которая его запарила невозмождностью игры без покупки IAP, зареверсил протокол и написал проксю которая позволяет делать покупки бесплатно.

http://www.chto.su/2012/07/appstore.html

Как бум защищаться?
Отправлено 13.07.2012 в 15:18
Отвечает на сообщение 383822
-16
Молодец, дядька! IAP - это гадкая практика :)
Отправлено 13.07.2012 в 15:27
Отвечает на сообщение 383822
+4
Бум на игровой сервер покупки слать и проверять оттуда, за подделку банить в игре.
Отправлено 13.07.2012 в 15:49
Отвечает на сообщение 383824
+1
надо будет замутить сервис такой для разрабов :)
Отправлено 14.07.2012 в 07:58
Отвечает на сообщение 383824
0
Павел Воробкалов пишет:
>
> Бум на игровой сервер покупки слать и проверять оттуда,
> за подделку банить в игре.


Ну да. Я бы еще слал не только покупки, но и подтверждал важные игровые действия (не все, только те, что тратят реалмани ресурсы) на игровом сервере (возможно отложенно, если нет коннекта, банить через неделю допустим). И, конечно, канал защищен нормально, а не как у эпла.
Отправлено 14.07.2012 в 00:42
Отвечает на сообщение 383822
+1
(мечтательно) еще ноги может сломать себе, споткнется, например
Отправлено 14.07.2012 в 02:08
Отвечает на сообщение 383822
-1
Оптимизацией!) Именно её малый уровень (как самого приложения, так и сервиса продаж) вынудил автора строгать такие сомнительные штучки :)
Отправлено 14.07.2012 в 07:44
Отвечает на сообщение 383822
0
Кто-нибудь может объяснить как такое возможно? Без джейлбрейка устройства, т.е. на стороне клиента злоумышленник не может ничего контролировать, может менять только траффик.

Двусторонняя генерация ключей для ассиметричного алгоритма и посредник на канале бессилен. Как может существовать такая дыра в такой компании как Apple?
Отправлено 15.07.2012 в 23:06
Отвечает на сообщение 383843
0
Если сам асимметричный алгоритм шифрования известен (Эппл не парилась и взяла в чистом виде SSL, например), то прокси может выдать себя за apple с одной стороны и за девайс с другой. И таким образом таки подслушать их диалог и зареверсить протокол. В дальнейшем прокси будет сам обрабатывать все запросы к эппл, не пуская их дальше.
Отправлено 16.07.2012 в 05:55
Отвечает на сообщение 383865
0
Дмитрий Моргун пишет:
>
> Если сам асимметричный алгоритм шифрования известен
> (Эппл не парилась и взяла в чистом виде SSL, например),
> то прокси может выдать себя за apple с одной стороны и
> за девайс с другой. И таким образом таки подслушать их
> диалог и зареверсить протокол. В дальнейшем прокси
> будет сам обрабатывать все запросы к эппл, не пуская их
> дальше.

Если всё слать открыто, то конечно. Можно какой-то ключ (открытый для ассиметричного, симметричный ключ используюмый для передачи открытых ключей, ключ цифровой подписи) вшивать в дистрибутив или передавать по другому каналу, обновлять ключ регулярно.
Вообще защиту можно выстраивать многими способами, если рассчитывать на надежность клиента. У эппла как-то не очень оказалось, рано или поздно должен был кто-то это обнаружить.
Отправлено 14.07.2012 в 10:56
Отвечает на сообщение 383822
+2
А есть какая-то статистика о проценте шлимазлов, всю жизнь копивших на дорогущий айфон и не способных купить цацку за $0.99?
Отправлено 15.07.2012 в 14:28
Отвечает на сообщение 383848
+1
Хосподе.
У нас в РФ каждый 2ой школьник\кисо ходит с айфоном на который копил 5 лет.
Не удивлюсь, если на счету нет денег и никогда не было.
Отправлено 15.07.2012 в 16:19
Отвечает на сообщение 383855
-3
Школьникам вроде родители такие вещи покупают не? Вот им и следовало быть готовым к доп. тратам на детские забавы в пределах хоть какого-то минимального бюджета.
Vadim BELLinSKY  15.07.2012 17:05
Отправлено 15.07.2012 в 16:45
Отвечает на сообщение 383855
+5
Сергей Судиловский пишет:
>
> Хосподе.
> У нас в РФ каждый 2ой школьник\кисо ходит с айфоном на
> который копил 5 лет.
> Не удивлюсь, если на счету нет денег и никогда не было.


Я очень сорри, а причем тут деньги на счету телефона и покупки в апсторе?
Отправлено 15.07.2012 в 19:14
Отвечает на сообщение 383822
+5
Не знаком с игрок CSR Racing, но если она не онлайновая и взлом ни как не влияет на других игроков, то вообще пофиг, пусть ломают сколько хотят. Не стоит ради нескольких людей тратить время на дополнительную защиту.
Comments.blogs
Списки доступа
  • Подписчики [789]
Права доступа
У обсуждений в этой группе различные ограничения доступа.
Пользователи имеют персональные права доступа к обсуждениям.

Copyright © 2021 ООО "ДТФ.РУ". Все права защищены.

Воспроизведение материалов или их частей в любом виде и форме без письменного согласия запрещено.

Замечания и предложения отправляйте через форму обратной связи.

Пользовательское соглашение