Dlatego przycebuliłem 10 minut po 19
Steam - temat ogólny
Regulamin forum
1. Prosimy nie zakładać osobnych tematów dla pojedynczych promocji;
2. Niepospolite promocje opisane wraz z linkiem w odpowiednim temacie mogą zostać nagrodzone dodatnimi punktami reputacji;
3. Zabrania się wklejania prywatnych linków referencyjnych lub linkowania stron trzecich używających refów.
1. Prosimy nie zakładać osobnych tematów dla pojedynczych promocji;
2. Niepospolite promocje opisane wraz z linkiem w odpowiednim temacie mogą zostać nagrodzone dodatnimi punktami reputacji;
3. Zabrania się wklejania prywatnych linków referencyjnych lub linkowania stron trzecich używających refów.
-
- Posty: 619
- Rejestracja: 23 gru 2012, o 20:55
- Płeć: Mężczyzna
- Lokalizacja: Lca
- Podziękował: 4 razy
- Podziękowania: 49 razy
- Kontakt:
Niektóre banki biorą prowizje za przewalutowanie nie mówiąc że ich przelicznik nie jest zawsze korzystny....
Ostatnio zmieniony 25 gru 2015, o 23:26 przez mariohyper, łącznie zmieniany 1 raz.
-
- Posty: 1317
- Rejestracja: 27 kwie 2013, o 10:10
- Płeć: Mężczyzna
- Podziękował: 11 razy
- Podziękowania: 16 razy
- Kontakt:
Od razu zaznaczam, że to co piszę nie ma żadnego potwierdzenia i są to jedynie domysły poparte doświadczeniem zawodowym.
No więc tak. Na początek ustalę kilka faktów:
- aplikacja sklepu Steam działa na PHP
- sklep używa Apache Solr - to tylko ciekawostka, nie ma znaczenia
- sklep używa memcache - nie jest to nic dziwnego, każda szanująca się aplikacja webowa, która może używać cache powinna to robić czy to za pomocą memcache czy redis czy cokolwiek innego
- za obsługę CDNa i ochrony anty-DDOS odpowiada Akamai - jest to firma nie związana z Valve w jakikolwiek sposób, jak ktoś kojarzy to Akamai zajmuje się tym samym co Cloudflare, generalnie ciekawostka, ale ma znaczenie o którym napiszę w dalszej części posta
Jakiś czas przed tym jak się zaczęły dziać cuda na sklepie można było zauważyć, że z jakiegoś nieznanego powodu jeden z wielu tzw. serwerów webowych zaczął serwować stronę sklepu z debugiem. Pisałem o tym dzisiaj ja i inni w tym topicu. Rzuciłem również copy-paste debuga z jednej strony. Z tego debuga można było wyciągnąć kilka ścieżek do plików .php aplikacji sklepu (co nie znaczy, że były one dostępne do pobrania - pewnie nie) oraz adresy IP (wewnętrzne, nie publiczne) serwerów memcache. Poklikałem po tym pseudo paneliku i w sumie nic ciekawego poza logiem debuga tam nie było.
Jakiś czas później na stronie sklepu zaczęły się zmieniać języki i można było podejrzeć kogoś konto. Żeby wytłumaczyć ten fenomen trzeba zrozumieć czym jest sesja i w jaki sposób się nią operuje. Generalnie fakt tego, że jesteśmy zalogowani, to że sklep "pamięta" co mamy np. w koszyku itp. rzeczy są utrzymywane przez sesje. Sposób obsługi sesji jest dowolny - jak sobie programista wymyśli, ale na Steamie pewnie działa to mniej więcej tak: w momencie jak wchodzimy na stronę serwer generuje nam unikalny klucz sesji, który jest zapisywany po stronie serwera, a sam klucz jest zapisywany w naszej przeglądarce w pliku cookie. Klucze sesji powinny być zawsze unikalne, ale załóżmy, że z jakiegoś powodu nie są. Przykładowa sytuacja: Osoba A loguje się do sklepu, dostaje klucz 123, jakiś czas później kolejna (inna) osoba B wchodząc na stronę musi mieć wygenerowany nowy klucz, ale z jakiegoś powodu nowo wygenerowany "losowy" ciąg znaków jest taki sam jak już istniejący (np. 123). Skutkuje to tym, że osoba B widzi to co osoba A, ale w takim przypadku mając jej sesję może praktycznie robić wszystko (kupować, pisać jako ta osoba itd.) W tym przypadku, który zaistniał tak nie było, mieliśmy tylko "odczyt" danych, ale kliknięcie czegokolwiek dawało albo błąd albo nic się nie działo. To z kolei sugeruje pewien zabieg, który być może wykonuje Valve na sklepie Steama, ale to jest tylko moja teoria i nie twierdzę, że tak jest na bank. Otóż przypuszczam, że Valve cachuje content dynamiczny, żeby ograniczyć zapytania do bazy danych, co potwierdza debug z wcześniej dzisiejszego dnia. Z jakiegoś powodu cache z sesji innych osób był dostępny dla wszystkich użytkowników. Niestety nie jestem w stanie powiedzieć dlaczego tak się stało ponieważ nie wiem jak operują memcache'm. Być może z jakiegoś powodu klucze w memcache zaczęły się nakładać. Ale bardziej obstawiałbym, że winna jest ta "beta/debug" aplikacja, która pojawiła się przez pewien czas na store. Obstawiam, że aplikacja debugowa zrobiła jakieś lewe wpisy do memcache przez co właściwa aplikacja (produkcyjna) zaczęła serwować złe dane z cache. Być może przestały się zwalniać zasoby cache - nie wiem.
Nie chcę wychodzić na alfę i omegę, więc ponownie nadmieniam - to są tylko moje domysły. Być może można je obalić w całości jednym zdaniem.
W międzyczasie jak pisałem tego posta SteamDB napisali swojego - https://steamdb.info/blog/recent-cachin ... -on-steam/ który poniekąd stwierdza to samo co mój.
No więc tak. Na początek ustalę kilka faktów:
- aplikacja sklepu Steam działa na PHP
- sklep używa Apache Solr - to tylko ciekawostka, nie ma znaczenia
- sklep używa memcache - nie jest to nic dziwnego, każda szanująca się aplikacja webowa, która może używać cache powinna to robić czy to za pomocą memcache czy redis czy cokolwiek innego
- za obsługę CDNa i ochrony anty-DDOS odpowiada Akamai - jest to firma nie związana z Valve w jakikolwiek sposób, jak ktoś kojarzy to Akamai zajmuje się tym samym co Cloudflare, generalnie ciekawostka
Jakiś czas przed tym jak się zaczęły dziać cuda na sklepie można było zauważyć, że z jakiegoś nieznanego powodu jeden z wielu tzw. serwerów webowych zaczął serwować stronę sklepu z debugiem. Pisałem o tym dzisiaj ja i inni w tym topicu. Rzuciłem również copy-paste debuga z jednej strony. Z tego debuga można było wyciągnąć kilka ścieżek do plików .php aplikacji sklepu (co nie znaczy, że były one dostępne do pobrania - pewnie nie) oraz adresy IP (wewnętrzne, nie publiczne) serwerów memcache. Poklikałem po tym pseudo paneliku i w sumie nic ciekawego poza logiem debuga tam nie było.
Jakiś czas później na stronie sklepu zaczęły się zmieniać języki i można było podejrzeć kogoś konto. Żeby wytłumaczyć ten fenomen trzeba zrozumieć czym jest sesja i w jaki sposób się nią operuje. Generalnie fakt tego, że jesteśmy zalogowani, to że sklep "pamięta" co mamy np. w koszyku itp. rzeczy są utrzymywane przez sesje. Sposób obsługi sesji jest dowolny - jak sobie programista wymyśli, ale na Steamie pewnie działa to mniej więcej tak: w momencie jak wchodzimy na stronę serwer generuje nam unikalny klucz sesji, który jest zapisywany po stronie serwera, a sam klucz jest zapisywany w naszej przeglądarce w pliku cookie. Klucze sesji powinny być zawsze unikalne, ale załóżmy, że z jakiegoś powodu nie są. Przykładowa sytuacja: Osoba A loguje się do sklepu, dostaje klucz 123, jakiś czas później kolejna (inna) osoba B wchodząc na stronę musi mieć wygenerowany nowy klucz, ale z jakiegoś powodu nowo wygenerowany "losowy" ciąg znaków jest taki sam jak już istniejący (np. 123). Skutkuje to tym, że osoba B widzi to co osoba A, ale w takim przypadku mając jej sesję może praktycznie robić wszystko (kupować, pisać jako ta osoba itd.) W tym przypadku, który zaistniał tak nie było, mieliśmy tylko "odczyt" danych, ale kliknięcie czegokolwiek dawało albo błąd albo nic się nie działo. To z kolei sugeruje pewien zabieg, który być może wykonuje Valve na sklepie Steama, ale to jest tylko moja teoria i nie twierdzę, że tak jest na bank. Otóż przypuszczam, że Valve cachuje content dynamiczny, żeby ograniczyć zapytania do bazy danych, co potwierdza debug z wcześniej dzisiejszego dnia. Z jakiegoś powodu cache z sesji innych osób był dostępny dla wszystkich użytkowników. Niestety nie jestem w stanie powiedzieć dlaczego tak się stało ponieważ nie wiem jak operują memcache'm. Być może z jakiegoś powodu klucze w memcache zaczęły się nakładać. Ale bardziej obstawiałbym, że winna jest ta "beta/debug" aplikacja, która pojawiła się przez pewien czas na store. Obstawiam, że aplikacja debugowa zrobiła jakieś lewe wpisy do memcache przez co właściwa aplikacja (produkcyjna) zaczęła serwować złe dane z cache. Być może przestały się zwalniać zasoby cache - nie wiem.
Nie chcę wychodzić na alfę i omegę, więc ponownie nadmieniam - to są tylko moje domysły. Być może można je obalić w całości jednym zdaniem.
W międzyczasie jak pisałem tego posta SteamDB napisali swojego - https://steamdb.info/blog/recent-cachin ... -on-steam/ który poniekąd stwierdza to samo co mój.
Ostatnio zmieniony 25 gru 2015, o 23:26 przez komarEX, łącznie zmieniany 1 raz.
-
- Posty: 182
- Rejestracja: 6 maja 2014, o 15:45
- Płeć: Mężczyzna
- Podziękował: 0
- Podziękowania: 9 razy
- Kontakt:
Jaki z tego wszystkiego płynie morał? Że próbują wepchnąć nam wszystko w chmurze, a jak przyjdzie co do czego to jest panika o dane na całego. Cyfryzacja jest dobra, ale do pewnego momentu. Od zawsze nie byłem zwolennikiem chmury i nigdy nie będę. A pomyśleć, że krążą plotki na temat tego, żeby cały Windows na komputerze ma siedzieć w chmurze 
Wszystko to co widzimy to są zwyczajne ciągi bitów, które tak naprawdę mogą przestać istnieć w dowolnej chwili. I to wszystko umownie jest naszą własnością. Podobnie papierowe pieniądze, bo ich wartość jest również umownie ustalona. Także ten tego... polecam się nie stresować, zawsze może być gorzej 
Wszystko to co widzimy to są zwyczajne ciągi bitów, które tak naprawdę mogą przestać istnieć w dowolnej chwili. I to wszystko umownie jest naszą własnością. Podobnie papierowe pieniądze, bo ich wartość jest również umownie ustalona. Także ten tego... polecam się nie stresować, zawsze może być gorzej -
- Posty: 13
- Rejestracja: 21 sie 2015, o 21:45
- Płeć: Mężczyzna
- Podziękował: 0
- Podziękowania: 0
- Kontakt:
Asmod96 pisze:Ja? Bo sam zrobiłem coś takiego.Dr_onion pisze: Jest oficjałka w dyskusjach steam, daję link:
http://steamcommunity.com/discussions/f ... 431478327/
Dla bezpieczeństwa polecam otworzyć jednak na przeglądarce bez zalogowanego konta.
Edit: A jaką masz pewność, że wrzut nie jest przygotowany przez gościa, który jest właścicielem tego konta, sam to ocenzurował i wrzucił jako straszak?
Skoro tak, to wyślij wiadomość do Steam, że jednak nie jest to takie "bezpieczne" jak by się im wydawało, może przycebulisz coś w gratisie za pomoc? :p
-
- Posty: 1317
- Rejestracja: 27 kwie 2013, o 10:10
- Płeć: Mężczyzna
- Podziękował: 11 razy
- Podziękowania: 16 razy
- Kontakt:
Chyba nie wiesz o czym piszesz kolego i nie wiesz o co biega w "chmurze". Anyway Steam z mojej wiedzy w ogóle nie korzysta z usług chmurowych, ale co ja tam mogę wiedziećggoral1 pisze: Jaki z tego wszystkiego płynie morał? Że próbują wepchnąć nam wszystko w chmurze, a jak przyjdzie co do czego to jest panika o dane na całego. Cyfryzacja jest dobra, ale do pewnego momentu. Od zawsze nie byłem zwolennikiem chmury i nigdy nie będę. A pomyśleć, że krążą plotki na temat tego, żeby cały Windows na komputerze ma siedzieć w chmurze
Albo poleci konto za próbę włamu, nie, dzięki. xDDr_onion pisze:Asmod96 pisze:Ja? Bo sam zrobiłem coś takiego.Dr_onion pisze: Jest oficjałka w dyskusjach steam, daję link:
http://steamcommunity.com/discussions/f ... 431478327/
Dla bezpieczeństwa polecam otworzyć jednak na przeglądarce bez zalogowanego konta.
Edit: A jaką masz pewność, że wrzut nie jest przygotowany przez gościa, który jest właścicielem tego konta, sam to ocenzurował i wrzucił jako straszak?
Skoro tak, to wyślij wiadomość do Steam, że jednak nie jest to takie "bezpieczne" jak by się im wydawało, może przycebulisz coś w gratisie za pomoc? :p
-
- Posty: 1317
- Rejestracja: 27 kwie 2013, o 10:10
- Płeć: Mężczyzna
- Podziękował: 11 razy
- Podziękowania: 16 razy
- Kontakt:
Insynuujesz, że Steam korzysta z jakiś usług chmurowych, a tak najprawdopodobniej w ogóle nie jest. Przy czym również implikujesz, że rozwiązania chmurowe są mniej bezpieczne. Najpierw polecam dobrze poczytać na jakiej zasadzie działają usługi chmurowe i co to w ogóle jest, bo pisząc takie głupoty tylko pokazujesz, że nie masz bladego pojęcia o co w tym wszystkim chodzi
-
- Posty: 1956
- Rejestracja: 22 cze 2013, o 19:20
- Płeć: Mężczyzna
- Podziękował: 249 razy
- Podziękowania: 393 razy
- Kontakt:
Jeśli to faktycznie jest problem z niewłaściwymi danymi z cache'a, to nie powinno być żadnego problemu (nikt nie wyczyści kont PP, kart kredytowych, itd)
Steam subtelnie przeprosi za problem z ujawnianiem danych osobowych i po problemie.
Steam subtelnie przeprosi za problem z ujawnianiem danych osobowych i po problemie.
-
- Posty: 13
- Rejestracja: 21 sie 2015, o 21:45
- Płeć: Mężczyzna
- Podziękował: 0
- Podziękowania: 0
- Kontakt:
Wydaje mi się, że steam korzysta (lub korzystał) z chmury (pamiętam, że kiedyś wyświetlało limit danych chmury w ustawieniach) i są przechowywane niektóre save (tak było z grami paradoxu, wiem bo mamkomarEX pisze:Insynuujesz, że Steam korzysta z jakiś usług chmurowych, a tak najprawdopodobniej w ogóle nie jest. Przy czym również implikujesz, że rozwiązania chmurowe są mniej bezpieczne. Najpierw polecam dobrze poczytać na jakiej zasadzie działają usługi chmurowe i co to w ogóle jest, bo pisząc takie głupoty tylko pokazujesz, że nie masz bladego pojęcia o co w tym wszystkim chodzi
)
