- Регистрация
- 2 Сен 2025
- Сообщения
- 496
- Реакции
- 1,118
- Баллы
- 200
- Сервер
-
- 1.4.6
АГЕНТ ГАВГАВ
Здравствуйте! Наверное все уже давно столкнулись с проблемой запуска множества окон (хотя возможно, у многих сейчас такой задачи нет после запрета гуя
), те же котоводы страдают после каждого рестарта, плачут и заводят, плачут и заводят, так и обычные игроки, которые перепутали пв с игрой моя любимая ферма и создали себе 20 твиночков-росточков за которых играют всеми пальцами рук и ног.
Поэтому решил предложить пару вариантов для ослабления лимита:
На текущий момент можно войти в аккаунт ~8 раз за 10 минут, потом ловим рейт-лимит на айпи на вход 10 минут.
1. Для начала предлагаю немного изменить логику того, за что считается вход в аккаунт.
На текущий момент попытка входа в аккаунт считается как удачная, так и не удачная (неправильный логин/пароль), посему чтобы оставить защиту от брутфорса, предлагаю для рейт-лимита засчитывать попытку ТОЛЬКО неудачного входа в аккаунт.
В конце концов у нас и так практически сейчас система whitelist - если игрок зарегистрировался и не играл ранее на сервере, то его не пустит в игру, пока он не нажмет кнопку в ЛК "Получить доступ к игре" и не внесет свой айпи в whitelist.
Отсюда вытекает ситуация, если все же кто-то захочет каким-либо образом брутфорсить аккаунты, то это будет 8 попыток входа каждые 10 минут, по итогу в час имеем ~48 неудачных попыток входа (с одного айпи), что уже выглядит как нездоровый паттерн, которому действия обычного игрока не соответствуют, и по которому можно находить гадскихгадских злоумышленников.
2. В целом решение вопроса со входом полностью расписано в 1 пункте, но вот еще один запасной вариант, как хотя бы чуть чуть ослабить лимит на вход в аккаунты.
Все просто - если у человека привязан телеграм в ЛК, то при получения доступа в игру в ЛК приходит подтверждение в телеграм, если игрок подтверждает, то айпи с которого был сделан запрос в ЛК попадает в расширенный whitelist, айпи попавшему в него разрешено входить 15-20 раз в аккаунт за 10 минутное окно.
Разрешать лишь только один айпи адрес игрока в расширенном whitelist, или использовать ротацию с заменой последнего айпи адреса, это уже на ваше усмотрение.
Всем пис
Здравствуйте! Наверное все уже давно столкнулись с проблемой запуска множества окон (хотя возможно, у многих сейчас такой задачи нет после запрета гуя
), те же котоводы страдают после каждого рестарта, плачут и заводят, плачут и заводят, так и обычные игроки, которые перепутали пв с игрой моя любимая ферма и создали себе 20 твиночков-росточков за которых играют всеми пальцами рук и ног.Поэтому решил предложить пару вариантов для ослабления лимита:
На текущий момент можно войти в аккаунт ~8 раз за 10 минут, потом ловим рейт-лимит на айпи на вход 10 минут.
1. Для начала предлагаю немного изменить логику того, за что считается вход в аккаунт.
На текущий момент попытка входа в аккаунт считается как удачная, так и не удачная (неправильный логин/пароль), посему чтобы оставить защиту от брутфорса, предлагаю для рейт-лимита засчитывать попытку ТОЛЬКО неудачного входа в аккаунт.
В конце концов у нас и так практически сейчас система whitelist - если игрок зарегистрировался и не играл ранее на сервере, то его не пустит в игру, пока он не нажмет кнопку в ЛК "Получить доступ к игре" и не внесет свой айпи в whitelist.
Отсюда вытекает ситуация, если все же кто-то захочет каким-либо образом брутфорсить аккаунты, то это будет 8 попыток входа каждые 10 минут, по итогу в час имеем ~48 неудачных попыток входа (с одного айпи), что уже выглядит как нездоровый паттерн, которому действия обычного игрока не соответствуют, и по которому можно находить гадскихгадских злоумышленников.
2. В целом решение вопроса со входом полностью расписано в 1 пункте, но вот еще один запасной вариант, как хотя бы чуть чуть ослабить лимит на вход в аккаунты.
Все просто - если у человека привязан телеграм в ЛК, то при получения доступа в игру в ЛК приходит подтверждение в телеграм, если игрок подтверждает, то айпи с которого был сделан запрос в ЛК попадает в расширенный whitelist, айпи попавшему в него разрешено входить 15-20 раз в аккаунт за 10 минутное окно.
Разрешать лишь только один айпи адрес игрока в расширенном whitelist, или использовать ротацию с заменой последнего айпи адреса, это уже на ваше усмотрение.
Всем пис
Последнее редактирование:
