Jump to content
zebilagiraf

[Projet] Toutes les maps 1.29 officiel

Recommended Posts

Pour la fonction de décodage : https://github.com/vincent4vx/PvEmu/blob/master/src/org/pvemu/jelly/utils/Crypt.java#L73

 

Bref, je ne l'ai pas inventé (je l'ai récupéré sur mAncestra pour être plus précis).

 

Et puis, oui il faut apprendre la différence entre le hash et le cryptage : le hash sort une signature de taille FIXE, et calcule le hash via "superpositions" de blocs de même tailles (si par hasard le mot rentré n'est pas assez long, il est "allongé" avec le caractère NUL). Ce n'est pas le cas de cette méthode.

Edited by v4vx

Share this post


Link to post
Share on other sites

Pour la fonction de décodage : https://github.com/vincent4vx/PvEmu/blob/master/src/org/pvemu/jelly/utils/Crypt.java#L73

Et puis, oui il faut apprendre la différence entre le hash et le cryptage : le hash sort une signature de taille FIXE, et calcule le hash via "superpositions" de blocs de même tailles (si par hasard le mot rentré n'est pas assez long, il est "allongé" avec le caractère NUL). Ce n'est pas le cas de cette méthode.

 

Ouuuuuuuuuula, je viens de me rendre compte de la bêtise que j'ai dis en effet c'est vrai tu avais raison, je viens de faire plusieurs tests et je retires donc ce que j'ai dis, dsl.

J'étais parti du fait qu'Ancestra compare le hash reçus avec un deuxième recalculé depuis la bdd (c'est le cas de la plus part des ému actuels), sans réellement s'approfondir dedans j'ai conclus que c'était un hash, car en plus de tout, ce serait beaucoup beaucoup plus logique pour protéger ses joueurs..

Donc du coup si c'est maintenant un cryptage avec une clé bien visible, c'est quoi l'intérêt de tout le système d'ankama ? Sérieux je ne comprends pas..

 

Cette histoire menace le projet, je ne veux pas qu'on le prenne pour un moyen de voler les comptes (littéralement rien à foutre de vos comptes ^^) je cherche sincèrement un moyen technique pour faire en sorte que les données d’identification soient impossible à décoder par passerelle.. Dire que je ne log pas les packets d'identification ne suffit pas, y a quoi comme solution à proposer ?

Share this post


Link to post
Share on other sites

Ouuuuuuuuuula, je viens de me rendre compte de la bêtise que j'ai dis en effet c'est vrai tu avais raison, je viens de faire plusieurs tests et je retires donc ce que j'ai dis, dsl.

J'étais parti du fait qu'Ancestra compare le hash reçus avec un deuxième recalculé depuis la bdd (c'est le cas de la plus part des ému actuels), sans réellement s'approfondir dedans j'ai conclus que c'était un hash, car en plus de tout, ce serait beaucoup beaucoup plus logique pour protéger ses joueurs..

Donc du coup si c'est maintenant un cryptage avec une clé bien visible, c'est quoi l'intérêt de tout le système d'ankama ? Sérieux je ne comprends pas..

 

Cette histoire menace le projet, je ne veux pas qu'on le prenne pour un moyen de voler les comptes (littéralement rien à foutre de vos comptes ^^) je cherche sincèrement un moyen technique pour faire en sorte que les données d’identification soient impossible à décoder par passerelle.. Dire que je ne log pas les packets d'identification ne suffit pas, y a quoi comme solution à proposer ?

 

Tu as l'air de confiance...

 

Sinon l’intérêt de cette méthode : aucun, mais il est possible de config le client pour hash en MD5. je ne sais pas exactement comment, mais c'est possible, et normalement on doit pouvoir se connecter sans problèmes. A voir...

 

EDIT: la réponse ce trouve ici : https://github.com/Emudofus/Dofus/blob/master/dofus/aks/Account.as#L44

 

Il suffis de configurer dans les lang CRYPTO_METHOD à 2

 

Une petite redirection des swf, et sa passe sans problèmes sur le serveur (normalement).

Edited by v4vx

Share this post


Link to post
Share on other sites

Tu as l'air de confiance...

Sinon l’intérêt de cette méthode : aucun, mais il est possible de config le client pour hash en MD5. je ne sais pas exactement comment, mais c'est possible, et normalement on doit pouvoir se connecter sans problèmes. A voir...

EDIT: la réponse ce trouve ici : https://github.com/Emudofus/Dofus/blob/master/dofus/aks/Account.as#L44

Il suffis de configurer dans les lang CRYPTO_METHOD à 2

Une petite redirection des swf, et sa passe sans problèmes sur le serveur (normalement).

Quoique je fasse ça renvoie toujours "mot de passe incorrecte" (j'ai vérifié ça envoie bien #2 + l'md5), ça aurait été énorme comme solution sinon :/

Ma petite théorie sur le sujet : Ils ont probablement besoin du mot de passe entier pour le comparer à un hash préenregistré, ce qui explique leur technique de cryptage du départ ainsi que l'md5 qui ne marche plus.. ça doit être ça vue que c'est les normes de sécurité, enfin je crois...

Share this post


Link to post
Share on other sites

C'est fort possible. Il ont préféré crypté la BD qui est normalement largement plus sécurisé de base que le réseau ^^

Share this post


Link to post
Share on other sites

Rendre le tool open source ne résoudrait-il pas le problème ? Projet communautaire résultat communautaire, pourquoi pas le tool en open source et on arrête le bla bla sur les mdps ?

Share this post


Link to post
Share on other sites

Rendre le tool open source ne résoudrait-il pas le problème ? Projet communautaire résultat communautaire, pourquoi pas le tool en open source et on arrête le bla bla sur les mdps ?

 

ça change quoi s'il est open-source? je ne vois pas comment ça peut régler le problème des mdp, je l'aurais fais mais j'ai un peu du mal à imaginer ce projet open-source avec ses proxy payants et tout, ça fera aussi que tout le monde va chercher l'exclusivité et les données ne seront plus centralisées et chacun pour sois.. perso j'y vois que des inconvénients, peut être que je changerais d'avis plus tards..

Share this post


Link to post
Share on other sites

C'est fort possible. Il ont préféré crypté la BD qui est normalement largement plus sécurisé de base que le réseau ^^

 

Jai plus vraiment de moyen absolu pour prouver aux joueurs que leurs comptes sont en total sécurité (dans le sens du hack ndc/mdp). Je les préviens donc et je les conseils de créer de nouveaux comptes spécialement pour la passerelle et d'éviter surtout de connecter les comptes 2.0 de valeur dessus ce qui serait vraiment très très bête. (Même si en réalité aucune donnée d'identification du port 444, 443 n'est enregistrée et qu'aucun compte ne sera hacké tant que je suis chargé du projet, promis)

 

J'ajouterais demain un lien vers ce message et cette discussion à la passerelle qui s'affichera dès la connexion des joueurs comme ça tout le monde est au courant des risques.

 

Je reste toujours à la recherche d'une idée qui puisse protéger les comptes pour me débarrasser de cette responsabilité inutile, que je prends au sérieux. (J'ai pensé à un petit tool open-source local à télécharger qui s'occupe du realm puis dirige vers la passerelle une fois identifié, ... pas encore sûr de la faisabilité je verrais pour ça demain)

 

Share this post


Link to post
Share on other sites

Rendre le tool Open Source serait une erreur, puisque tout le monde prendrait les maps pour soi, sans en faire profiter les autres.

Tu n'as pas à présenter des "risques" si il n'y en a pas. Tu garantis simplement sur le site de la passerelle, sur ton honneur, que tu n'hackera pas les comptes et qu'aucune donnée personnelle n'est logger... (Met-le en rouge en évidence sur le site)

 

Si les gens sont paranos et qu'ils ne te font pas confiance, qu'ils usent un VPN ou qu'ils se créent un autre compte, c'est leur problème.

Edited by Starlegend

Share this post


Link to post
Share on other sites

Sa pourrais être pas mal,

 

Peut être que certain garderons pour sois même le travail effectué,

 

Mais d'autre sincères continuerons le projet,et partagerons. 

 

(Désolé de mon français je parle Anglais normalement)

Moi je suis pour. 

Share this post


Link to post
Share on other sites

un super projet, j'ai commencé cette nuit avec mon personnage bulgerido, étant donné que je dev actuellement mon serveur et que je cherche tous ces éléments, tu peux compter sur moi pour sniffer 1.29, merci à toi

Share this post


Link to post
Share on other sites

Le rendre open source permettra de vérifié si tu log ou non les mots de passes / noms de compte

Share this post


Link to post
Share on other sites

Je suis pour l'idée de le rende open source d'un coté,et d'un autre non.  :blink:

Share this post


Link to post
Share on other sites

A tous les futurs joueurs :

Venez jouer sur le 2ème serveur, j'ai créé une guilde de français et plus de maisons sont accessibles pour sniffer, sachant que je pourrai vous aider à xp avec mon perso 72 ^^

 

P.S : MP moi IG : Darkfire

Edited by Starlegend

Share this post


Link to post
Share on other sites

Ayant déclaré cette turbulence au sein du projet, je proposerais que tu indique, la création d'un nouveau compte. Pour éviter tout problème. Dans tout les cas, t'en reste potentiellement responsable, tu aurais dû pensé à ça un p'tit coup avant  ^_^ .

L'idée du open-source ferait sûrement un massacre.. Surtout avec la mentalité des gens ici.

Share this post


Link to post
Share on other sites

Cependant le rendre open-source = des personnes qui vont venir se plaindre car elle n'arrive pas à le faire fonctionner, en plus d'attendre des mises à jours de la part de zebilagiraf. Vu le potentiel de ce projet ( surtout s'il y a des filtres qui viennent compléter ce système pour sniffer le reste, c'est juste magique ) ça ne me dérange pas de me dire que zebilagiraf à accès à un de mes comptes vu ce qu'il met à notre disposition ^^

 

en effet, je confirme que sur hedual c'est le bonheur côté maison, la crise espagnol touche même dofus :mellow:

Edited by durkx

Share this post


Link to post
Share on other sites

Lorsque le tool est en open source, on pourra être sur que seul les packets relatifs aux maps sont pris. Et pour ceux qui disent les autres vont plus partager, je vous rappelle que le filtre est implémenté côté serveur. Corrigez moi si j'ai tort, mais je crois que c'est pas mal comme idée.

Share this post


Link to post
Share on other sites

Aucune utilité de le rendre open source sous votre prétexte 'd'assurer la non filtration des packet de login'

Il peut rendre open source ce dernier, comme il peut modifier en privé sa version en ajoutant quelques lignes de code qui s'occuperont d'enregistrer les identifiants .

Certe la confiance n'existe pas avec cette communauté , vaut mieux s'acheter son proxy, et utiliser cette passerelle seulement pour avancer la collections des données du serveur.

Donc je résume que le partager est inutile

Cordialement,

Share this post


Link to post
Share on other sites

Est ce que tu penses sérieusement que je vise le code source pour mes propres objectifs ? Je pourrais faire le mien en une semaine avec les unit tests et la doku, mais l'objectif est de rendre ce projet "non-criticable", de tel façon à ce que tout le monde soit rassuré que rien n'est volé, que tout est en règle. Après tout il y a des gens qui offrent leurs services premium depuis longtemps, sans faire de la pub, et qui ont créer des tools aussi.

Bottom line, j'ai aimé cette initiative de @zebilagirafe, j'ai vu des gens concernés pas la sécurité, j'ai proposé une idée.

Qu'est ce que la pire des choses qui puisse arriver ? Un gars fait son propre fork privé ? La force de ce projet est dans la communauté. Qu'est ce que la meilleure chose qui puisse arriver ? Des devs bénévoles contribuent au projet(Je suis partant).

Win-win situation. Correct me if I'm wrong.

Share this post


Link to post
Share on other sites

Une ip a due être bannie, même en payant des serveurs espagnols, nous ne sommes pas sur d'avoir une ip unique.

J'ai vérifié le compte que j'ai créé, il n'est pas banni alors que lorsque je tente de me connecter, je reçois un message qui dit que le compte est invalide.

Eviter d'utiliser des bots ou d'être super actif pour les métiers, trop actif dans les métiers vous offre un ban de 2h, un bot un ban qui peut aller jusqu'à une semaine pour tout ceux utilisant la même ip.

Pour ceux qui voudrait des informations sur le fonctionnement d'une passerelle :

Un serveur de connexion est lancé pour permettre de se connecter sur plusieurs autres serveurs (ce peut être un serveur avec une ip française, cela ne pose pas de problème), vous êtes ensuite rediriger vers un de ses serveurs sur lequel est lancé un autre programme qui permet de faire le lien entre le serveur de connexion et les serveurs officiels, ces serveurs filtrent les packets, quand il s'agit du packet pour la version, le pseudo et le mot de passe, le packet est ignoré sinon il est stocké, quand l'header (les 2/3 premiers caractères) correspondent à un packet que l'on veut stocker, il est parser(vous pouvez regarder ancestra ou un bot pour dofus 1 pour avoir plus d'information la dessus car ça dépend de chaque packet) pour récupérer plusieurs informations, on peut donc savoir : la postion de chaque sprites sur la map (ici, ce sont les triggers qui nous intéresse mais on peut aussi chercher les portes de maison, d'enclos, ...), la position des pnjs, les dialogues et on peut chercher à quel condition, les étapes des quêtes, la clé des maps et plusieurs informations, ... ces informations sont envoyé au serveur de connexion (de la passerelle) ainsi que le packet envoyé par le serveur qui lui sera transmis au client.

On pourrait parser le packet "AlEk" et récupérer le temps de bannissement ainsi on éviterait de ce connecter à un serveur dont l'ip a été bannis.

Malheureusement, certain hébergeur peuvent redonné plusieurs fois la même ip pour plusieurs serveurs donc même si on dispose de plusieurs serveurs, plusieurs serveurs peuvent être inutilisable pendant une certaine durée.

Si le projet passe open source, on pourrait proposer des améliorations ainsi que parser plus de packet qu'actuellement et remplir une base de donnée plus grande. (Quête, enclos, maisons, ... avec le prix, le nombre de place, ..., les dialogues des pnjs et les conditions)

On peut aussi remplir une base de donnée avec des informations sur chaque joueur de la passerelle : quête terminer, quête en cours, objectif, ... qui permettrait de corriger certain dialogue et de les adaptés aux quêtes car actuellement les dialogues et les conditions, ce n'est pas génial.

L'avantage de l'open source est donc que l'on peut proposer des parsers pour les packets et on pourrait lancer un serveur qui a une ip espagnol pour disposer de plus d'ip libre mais niveau sécurité, n'importe qui pourrait avoir vos comptes.

  • Upvote 1

Share this post


Link to post
Share on other sites

Pour ceux qui croient qu'en open source les mot de passes ne seront plus volés, wtf ?! (j'y vois du vole de tout les cotés)

 

Je ne suis pas contre l'open source, bien au contraire, je l'encourage et je crois en sa force mais dans ce cas bien précis je n'en vois vraiment mais vraiment pas l'intérêt !

Si on enlève tout ce qui brille, on a au final deux ou trois serveurs Proxy/VPN payants de bon ping et de bonne qualité. Si je les partages aussi ba autant utiliser la passerelle vue qu'on va tomber dans le même problème du vole de mot de passe.

Si le bute est de sniffer des maps avec vos propres Proxy/VPN, ya déjà des sniffers en local pour ça (celui de Diabu et compagnie codé en C#, ..) il est aussi possible de les sniffer sois-même avec wireshark/tshark en ligne de commandes puis automatiser l'extraction des keys de la capture.. (un regex en 10 secondes fera l'affaire)
Et aussi, je peux me tromper, mais Il n'y a pas à ma conaissance de moyen sûr pour s'assurer de la validité du key de la map, on devine si elle est valide visuelement, du coup un moyen pour centraliser le résultat et le proposer en télechargement toutes les 5 minutes sera mission impossible, ce qui est l'avantage de la passerelle actuellement. Là il est impossible de fake le key, (ou quoi que ce soit), car on est sûr qu'on est connécté à l'officiel.

Open-source ici pas bonne idée, encourager la capture des maps individuellement ? pas bonne idée nonplus, l'idéal à mon avis serait d'utiliser une grande passerelle sécurisée (pas forcément la mienne) qui s'occupe de tout les détailles techniques et vous permet de se concentrer sur l'important, tout en profitant l'émulation tout entière et en temps réel ^^
 

 

pourquoi sa me mes compte invalide pendant 5h51min ?

Une ip a due être bannie... nous ne sommes pas sur d'avoir une ip unique

 

Quelqu'un a du provoquer un ban IP, je ne pense que ça affecte vos comptes..

C'est corrigé, vous n'êtes plus banni normalement là (je ferais en sorte que la passerelle change automatiquement de proxy dans ce genre de situations)

Pour le moment c'est quelques trois IP que la passerelle propose, mais j’augmenterais le nombre de proxy au fur et à mesure qu'il y a des joueurs.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


×
×
  • Create New...