bypass validation

[energy]

Приветствую всех. Покажите пример валидации байпасов или, хотя бы, намекните.

[GenCloud]

Приветствую всех. Покажите пример валидации байпасов или, хотя бы, намекните.

Это менеджер-контроллер, который считывает посланный байпас сервера и добавляет его в лист. Если от клиента приходит измененный байпас(отличный от сохраненного) -> баним, шлем на хер и т.п. (грубое описание)
Пример можете глянуть в сурсах nextgen'a. Там распространяется как на коммунити так и на обычные хтмл файлы.

[n3k0nation]

Что вы подразумеваете под "валидацией"?

Может быть проверку на правильность байпасса?

Код:

\"(bypass +-?h? ?+)(.+?)\"

Или может быть кеширование байпассов? Или может быть что-то свое?

[GenCloud]

Что вы подразумеваете под "валидацией"?

Может быть проверку на правильность байпасса?

Код:

\"(bypass +-?h? ?+)(.+?)\"

Или может быть кеширование байпассов? Или может быть что-то свое?

мысли

думаю он все же имел ввиду валидация - encode <-> decode bypass protection

[Influence]

Что вы подразумеваете под "валидацией"?

Может быть проверку на правильность байпасса?

Код:

\"(bypass +-?h? ?+)(.+?)\"

Или может быть кеширование байпассов? Или может быть что-то свое?

Рискну предположить...кеширование

[n3k0nation]

Если кеширование, то вот пример, который я набросал за 5 минут

Код:

import java.util.concurrent.locks.Lock;
import java.util.concurrent.locks.ReentrantLock;

/**
* @author PointerRage
*
*/
public class BypassCache {
    private final List<String> list = new ArrayList<>();
    private final Lock lock = new ReentrantLock();
    @Inject private IBypassChiper chiper;
    
    public BypassCache() {
        
    }
    
    /**
     * Дергается перед отправкой ХТМЛки игроку
     * @param bypasses
     */
    public void update(String[] bypasses) {
        lock.lock();
        try {
            list.clear();
            for(String bypass : bypasses)
                list.add(chiper.decrypt(bypass));
        } finally {
            lock.unlock();
        }
    }
    
    /**
     * Дергается когда сервер получает байпасс
     * @param bypass
     * @return
     */
    public boolean validate(String bypass) {
        lock.lock();
        try {
            return list.contains(chiper.decrypt(bypass));
        } finally {
            lock.unlock();
        }
    }
}

Для каждого инстанса игрока необходимо создавать такой обьект.

Добавлено через 7 минут

мысли

думаю он все же имел ввиду валидация - encode <-> decode bypass protection

Можно просто ксорить единицей. Вот вам и защита энкод/декод.

[energy]

Это менеджер-контроллер, который считывает посланный байпас сервера и добавляет его в лист. Если от клиента приходит измененный байпас(отличный от сохраненного) -> баним, шлем на хер и т.п. (грубое описание)
Пример можете глянуть в сурсах nextgen'a. Там распространяется как на коммунити так и на обычные хтмл файлы.

Да, похоже на то что мне надо.

Если кеширование, то вот пример, который я набросал за 5 минут

Код:

import java.util.concurrent.locks.Lock;
import java.util.concurrent.locks.ReentrantLock;

/**
* @author PointerRage
*
*/
public class BypassCache {
    private final List<String> list = new ArrayList<>();
    private final Lock lock = new ReentrantLock();
    @Inject private IBypassChiper chiper;
    
    public BypassCache() {
        
    }
    
    /**
     * Дергается перед отправкой ХТМЛки игроку
     * @param bypasses
     */
    public void update(String[] bypasses) {
        lock.lock();
        try {
            list.clear();
            for(String bypass : bypasses)
                list.add(chiper.decrypt(bypass));
        } finally {
            lock.unlock();
        }
    }
    
    /**
     * Дергается когда сервер получает байпасс
     * @param bypass
     * @return
     */
    public boolean validate(String bypass) {
        lock.lock();
        try {
            return list.contains(chiper.decrypt(bypass));
        } finally {
            lock.unlock();
        }
    }
}

Для каждого инстанса игрока необходимо создавать такой обьект.

Добавлено через 7 минут


Можно просто ксорить единицей. Вот вам и защита энкод/декод.

Строчка @Inject private IBypassChiper chiper; похоже написана с использованием Spring Framework (я только начал учить и до аннотаций не дошел еще). Как интуитивно я понимаю надо создать бин класа шифровки / расшифровки?

И второй вопрос, если с игроком все понятно. Но как сервер отправляет/регистрирует байпасы я еще не понял. В смысле validate(str) я понял. Но что подается в аргумент update(str[]), в смысле из чего состоит массив я не понял.:confused:

[n3k0nation]

Да, похоже на то что мне надо.


Строчка @Inject private IBypassChiper chiper; похоже написана с использованием Spring Framework (я только начал учить и до аннотаций не дошел еще). Как интуитивно я понимаю надо создать бин класа шифровки / расшифровки?

И второй вопрос, если с игроком все понятно. Но как сервер отправляет/регистрирует байпасы я еще не понял. В смысле validate(str) я понял. Но что подается в аргумент update(str[]), в смысле из чего состоит массив я не понял.:confused:

Не обязательно спринг, любой IoC фреймворк, который поддерживает JSR-330.

Байпассы отправляются сервером внутри HTM-страницы. Вам нужно взять эти все байпассы, криптануть их (если требуется) и положить в кеш. Когда приходит запрос байпасса от клиента на сервер, Вам нужно декриптануть его (если требуется) и проверить, есть ли такой в кеше.
Кеш конечно же должен очищаться при запросе новой HTM-страницы.

[energy]

Спасибо большое, мне дошло

[energy]

Можно просто ксорить единицей. Вот вам и защита энкод/декод.

Привет всем. Хочу дополнить вопрос.
А есть возможность того, что кто-то сможет вытянуть байпас из инстанса игрока? Или он может, зная сборку сервера, логически составить свой байпас и подменить пакет.
И как лучше ксорить строку: разбив на массив байтов или чаров?
Или вообще заюзать Base64?
В общем, есть ли смысл в лишней нагрузке на проц?