autenticación segura multiservidor

Navega tus respuestas
1

Estaba leyendo las respuestas en Cómo ¿Se divide el inicio de sesión y la lógica del juego al escribir servidores? . Lee eso primero.

Ahora, quiero saber cuándo funcionará este método y cómo se puede romper. Creo que podría haber mejores formas de hacer esto, pero la conexión cliente-servidor (en mi caso) tendrá que comenzar en un canal no seguro. Pero la conexión al servidor de inicio de sesión es segura. Y el servidor de juegos tiene un secreto compartido con el servidor de inicio de sesión. Pero la conexión con el servidor de juegos es insegura.

Entonces, ¿cuáles son las mejores formas de hacer esto? El hash de la IP allí parece ser seguro, pero no estoy seguro. Además, esto tendrá que funcionar rápido, muy rápido.

Esto es solo autenticación No hay necesidad de un canal seguro entre el servidor de juegos y el cliente.

    
pregunta MaxTheBackspace 12.06.2016 - 23:12
fuente

1 respuesta

1

Si las comunicaciones entre el servidor del juego y el cliente son inseguras, entonces lo único que está protegiendo es la información que se envía a través del canal seguro al servidor de inicio de sesión. Un atacante aún puede hacerse cargo de la sesión en el servidor del juego y, por lo tanto, explotar la identidad sin las credenciales.

  

Hashing the IP

Si bien es cierto que la falsificación de IP es difícil, no es imposible . Además, esto solo tendría algún valor como indicador de identidad si las direcciones IP no se compartieran y no cambiaran a mitad de la sesión, ninguna de las cuales es verdadera.

Sin TLS en el servidor del juego no tienes seguridad. La buena seguridad necesita muchas más cosas.

  

esto tendrá que trabajar rápido, muy rápido.

TLS agrega una sobrecarga de rendimiento, pero hay un margen para influir en esto significativamente y es solo un componente de su presupuesto de rendimiento.

Por cierto, la pregunta a la que se vinculó se basa en la combinación de la autenticación y la función de un servicio que se amplía mal cuando se combinan. Esto no tiene sentido. Existen buenas razones para separar la autenticación en un servicio dedicado: tiene requisitos de seguridad muy específicos y exigentes, por lo que el uso de un producto comercial tiene atractivos, además el aislamiento concomitante facilita la reutilización del servicio de autenticación.

    
respondido por el symcbean 12.06.2016 - 23:34
fuente

Lea otras preguntas en las etiquetas

¿Este caso se ajusta a la definición de un ataque de repetición? Error al ejecutar NodeFuzz [cerrado]