Enganché la biblioteca WS2 con C ++ en un juego y descubrí que envía una solicitud al servidor usando http para verificar si mi clave de serie es válida. enlace ????
Mi pregunta es si envío solicitudes con claves de serie generadas para, digamos, más de una semana, ¿es posible que obtenga una? El servidor devuelve -1 si es falso y un id si es correcto.
Nota: no deseo robar claves de serie para vender en eBay o algo así. Ni siquiera quiero probar esto, pero tenía curiosidad por si sería posible.
No puedo comentar sobre este escenario específico ya que hay incógnitas como la limitación de la velocidad por parte del servidor (ver comentario de JonasCz), la entropía de las claves de serie, etc. Este es un enfoque general para considerar esto al proteger su sistemas propios.
Cada uno de los? en la clave de serie puede tomar uno de una serie de valores definidos por un alfabeto. Por ejemplo, el alfabeto binario los limita a [0,1], el hex se limita a [0-F], etc. La cardinalidad (c) del alfabeto es simplemente el número de opciones; binario = 2, hex = 16, y así sucesivamente. Hay 20? por lo tanto, el mejor caso para protección, tenemos c ^ 20 opciones posibles para adivinar (asumiendo una buena fuente de entropía para su generación original).
Caveats
Viabilidad
Una vez que hayamos reducido el espacio de búsqueda dadas las advertencias, podemos evaluar el viabilidad del ataque de fuerza bruta con este excelente cálculo . ("Limitaciones termodinámicas" en Schneider B. Applied Cryptography pp. 157-8).
Claro que puedes, pero será un proceso largo omitir todos los límites de velocidad, límites por IP, e.t.c. Pero de vez en cuando lo golpearás con seguridad.
Lea otras preguntas en las etiquetas http