Постоянные читатели ММОзговеда знакомы с историей о взломе игровой учетной записи одного из наших авторов. История эта развивалась странно, достаточно вспомнить, что на первом этапе украденное отказались вернуть принципиально, однако затем представители mail.ru передумали и часть имущества вернули. В итоге описанная ситуация хотя и стала прецедентом, больше все же напоминала частный случай, детали которого могут и вовсе не относиться к следующей ситуации, в которой, увы, может оказаться любой из нас. Мы обратились за разъяснениями к продюсеру русской локализации Archeage Сергею Теймуразову.
ММОзговед: Сергей, здравствуйте. Недавно на страницах ММОзговеда отшумела история одного из наших авторов о взломе учетной записи, общении со службой поддержки и каким-то не самым внятным финалом, в котором часть игрового имущества вернули, а часть – нет. На мой взгляд, эта история вскрыла сразу две проблемы. Первая проблема — неготовность mail.ru играть на чужом поле, то есть отсутствие официальной реакции на сторонних ресурсах, в результате чего игра в таких случаях ведется практически в одни ворота. У нас был положительный опыт вашего общения на страницах ММОзговеда, так что, думаю, и комьюнити-менеджеры могли бы подключаться в таких случаях и чувствовать себя вполне нормально в рамках нашего ресурса. Давайте поговорим сначала об этой проблеме, а потом перейдем ко второй, более глобальной.
Сергей Темуразов: Да, на ММОзговеде часто бывает много интересных обсуждений. Поэтому теперь здесь будет появляться и наш комьюнити-менеджер. Она уже зарегистрировалась тут. Совсем скоро она представится сама.
ММОзговед: Отлично. Будем надеяться на быструю обратную связь. Спасибо. Но вот вторая проблема глобальнее – с точки зрения простого игрока, попавшего в такую ситуацию, не очень понятно, что ему ожидать. Я вот очень не люблю никого ни о чем просить, признаюсь, и в случае, если попаду в такую ситуацию, мне неприятно будет осознавать, что список вещей, которые мне вернут, зависит от какого-то индивидуального порядка. То есть, может, я стих хороший не прочитал или плохо попросил. В общем, не очень понравился службе поддержки. Неуютно. Понимаете?
Сергей Теймуразов: Индивидуальный подход относится к каждой возникшей ситуации, а не исключительно к игроку. О количестве публикаций на разных ресурсах мало кто знает в техподдержке. А вот каждый взлом уникален по своим результатам распределения предметов на конечных игровых аккаунтах. В этом плане свободная экономика ArcheAge и небольшое количество предметов, которые привязаны к персонажу, работает против нас — уже через пару операций золото уходит и распространяется по игре.
Вся цепочка взломщика по передаче аккаунтов до сторонних игроков будет установлена и заблокирована. А вот дальше — что-то было распылено, что-то продано игрокам, что-то перекрафчено. И вот именно здесь начинается та самая индивидуальность, когда одному игроку возвращаются рецепты, второму — дельфийские монеты и часть ценных ресурсов, третьему — доспехи, ресурсы, монеты и т.д. То, что не ушло в итоге в торговый оборот между игроками, может быть восстановлено на аккаунте пострадавшего игрока. Ну и не стоит забывать про внутриигровую ценность самих предметов. Временные затраты на поиск всех внутриигровых транзакций по любой позиции более-менее равные, будь то рецепт донжона или 10 клубней картошки. Поэтому стоит тратить усилия только на ценные предметы, которые очень сложно быстро восстановить пользователю в игре, после чего заняться другим случаем взлома, который ожидает своей очереди.
ММОзговед: Описанный процесс все же выглядит очень непрогнозируемым для игрока. Решения принимает служба поддержки, она оценивает, что важно, а что — не очень. Давайте попробуем зайти с другой стороны, со стороны некой максимы — почему не возвращается все? Мне кажется, так будет проще всем нам понять ваши и наши сложности. Давайте представим, что вы решили возвращать все утерянные вещи. В чем здесь проблема, на ваш взгляд?
Сергей Теймуразов: Попробую представить нашу историю по пунктам.
1. Мы на начальном этапе оперирования проектов практиковали восстановление всех предметов, которые потерял игрок в результате взломов.
2. Казалось бы, правильный клиентоориентированный подход, однако, результаты такого подхода стали в итоге совершенно негативно сказываться на проектах.
3. Игроки перестали беспокоиться о безопасности своих учетных записей и шаринг аккаунтов превратился в эпидемию (дать акк посмотреть/поиграть – стало совершенно нормально и не опасно, ну а чего опасаться, если что – саппорт все вернет).
4. Соответственно, лавинообразно увеличилось количество «взломов» аккаунтов (правда, как можно назвать «взломом», когда игрок сам добровольно отдает другому логин и пароль от аккаунта).
5. Стала процветать купля-продажа аккаунтов, а также связанное с этим мошенничество.
6. Помимо жалоб на взломы в несколько раз увеличилось количество запросов от игроков, возмущенных тем, что у них отобрали (с возвратом потраченных средств) конкретный игровой предмет, полученный в результате взлома другого игрока. Их тоже можно понять – они ничего не знают про историю предмета, приобретают его за вполне себе нормальную внутриигровую цену, тут же его затачивают/апгрейдят/зачаровывают, параллельно распродают свои, теперь уже ненужные, ресурсы, которые копили на данный предмет, а после этого неожиданно для себя теряют сам предмет. Их позиция: «Я не виноват, что кого-то взломали, я не знал о судьбе предмета, я его купил за большие деньги, не имеете права отбирать, решайте свои проблемы со взломанным игроком за мой счет, мне нужен предмет, а не деньги за него».
7. Игроки стали злоупотреблять данным сервисом, не видя разницы между потерей эпических доспехов у друга и потерей у себя в результате случайно продажи или забывчивости просто «серой» вещи. Все объяснения, что данный предмет был потерян не в результате утраты доступа к аккаунту и может быть достаточно просто восстановлен самим игроком в процессе дальнейшей игры упирались в глухое непонимание «Почему я это должен делать? И какая разница, как я потерял предмет! Вы же восстанавливаете предметы? Ну вот будьте добры вернуть и мне мой серый предмет, а иначе что это за дискриминация у вас!».
8. Игроки стали абъюзить систему, имитируя взлом, стараясь получить дубли различных предметов (имитируется «взлом», ценные предметы и ресурсы по заранее организованной схеме начинают продаваться, перекрафчиваться, распыляться и т.п.). Иногда в подобных схемах в попытках неигровым путем получить ценный внутриигровой предмет и даже сет экипировки целиком, участвовали вплоть до десятка игроков, которые при общении со специалистами поддержки занимали позицию «ничего не знаю ни о каком взломе, все получено легально, отбирать не имеете права».
9. Активизировались продавцы игровой валюты, которые получают ее в основном не с бот-ферм, а именно со взломов аккаунтов других игроков.
Итогом всего этого стал отказ от практики восстановления предметов, утерянных игроком в результате взлома. Но, несмотря на эту нашу официальную позицию, мы часто идем игрокам навстречу, восстанавливая особо ценные игровые предметы, если они еще не ушли «в оборот» и восстановление предмета не станет для игрового сервера инцидентом дублирования.
ММОзговед: Ага, это многое объясняет. То есть предположения, которые высказывались у нас в дискуссии на ММОзговдеде, о том, что при помощи системы восстановления утерянного можно организовать законный «дюп» предметов, оказались вполне реальными ситуациями. Интересно. И действительно пугает.
Но разве это напрямую не связано с эффективностью инструментов по отслеживанию предметов? Многие предполагают, что причина долгих разбирательств и поисков концов связана, прежде всего, с неэффективностью ведения журнала перемещения предметов и отсутствием хороших инструментов по разматыванию этого клубка.
Сергей Теймуразов: Нет. Для примера — две ситуации и два вида инструментария:
Ситуации:
1. взломали и все осталось на взломщике
2. зломали и все конвертировали в золото и ингредиенты (продажа, разбор, крафт и т.д.)
Инструментарий:
А. плохой инструментарий, который видит только статику (логов вообще нет)
В. хороший инструментарий, в котором есть абсолютно все логи
Теперь комбинации:
1А — все украденное может быть возвращено
1В — все украденное может быть возвращено
2А — ничего из украденного не вернуть
2В — ничего из украденного не вернуть (редкие случаи, когда все остатки от разобранных предметов остаются на взломщике в расчет не берем, ибо так как ситуация из разряда комичных — украл, разобрал, но ничего не реализовал и все оставил у себя)
Как видите, основной фактор, влияющий на конечный результат — результат работы взломщика. Если все делается оперативно и по заранее разработанной схеме (что на аукцион и по какой цене, что вендору, что на разбор и т.д.), восстановить обратно предмет с изъятием из игрового процесса все полученное в результате его конвертации практически невозможно. Кстати, это очень похоже на ситуации из нашей жизни, когда угоняются машины под заказ (угнанная машина сразу отвозится в гараж к мастерам, где за несколько часов разбирается на запчасти, которые моментально расходятся по рынкам-развалам и частным мастерским). Если же взломщик – не профессиональный преступник, то он, скорее всего, все полученное оставит на себе, а такое мы уже можем вернуть. Так что эффективность инструментария тут играет не основную роль.
А теперь представьте, что ресурсы, полученные в результате взлома, были конвертированы через аукцион в золото, и купившие их другие игроки скрафтили себе предметы из них и кому-то из них в нескольких случаях при крафте «прокнуло» нечто редкое. Что бы вы со своей стороны сделали? Изъяли прокнутое? Попросить другого игрока приобрести ресурсы, потраченные им на крафт прока, и потом их изъять? Изъять эквивалент в игровой валюте? Нужно добавить к этому еще и разные мнения каждого игрока и разные потребности (кого-то устроит первый вариант, кого-то только второй, кого-то третий). И при этом в любом случае все они останутся недовольны любым решением, потому что у них отнимают то, что они получили вполне законно, заплатив стандартную цену. То есть из-за одного взломанного игрока страдают все остальные, которые к нему в принципе не имеют никакого отношения (за исключением самого взломщика, он будет однозначно выявлен и заблокирован при любых обстоятельствах).
Ну а длительность разбора факта взлома зависит от сложности случая (от 15 минут в среднем до 60 минут в особо тяжелых случаях) и от количества запросов в очереди (фишинговая страница — несколько сотен аккаунтов, база клансайтов — от нескольких сотен до тысяч аккаунтов, мошенничество в игре «дай акк посмотреть/хочешь подарок на счет?» — десятки и сотни, в зависимости от возрастной аудитории проекта). Каждый запрос обрабатывается исключительно в порядке очереди (пришел первым — разберут первым, пришел десятым — разберут десятым). Несмотря на то, что расследование проводят старшие специалисты, учетная запись пострадавшего игрока блокируется дежурными специалистами сразу после принятия ими заявки и проверки предоставленных игроком данных.
ММОзговед: Понятно, что есть некий водораздел — вещи ушли к невиновному человеку через аукцион и вещи остались у того, кто признан виновным. В этом случае, если все вещи легко прослеживаются, то все найденное у злоумышленника может быть легко возвращено владельцу без разбирательств, что там ценное, а что — нет.
Сергей Теймуразов: Да, все верно. Но, пожалуй, проще будет для понимания, что большинство взломов производится «по заказу» площадок, торгующих внутриигровой валютой. То, что они рассказывают про «посредничество и чистоту золота» — откровенная ложь. Основное поступление золота к ним — тотальное потрошение взломанных аккаунтов и фрод.
ММОзговед: А может быть в качестве условия возврата всего имущества выставлена необходимая скорость реакции потерпевшего? Я пытаюсь нащупать формальные признаки-правила, чтобы игрок чувствовал себя более уверенно.
Сергей Теймуразов: Чаще всего на потрошение аккаунта у взломщика уходит не более 7-10 минут с момента получения к нему доступа. И даже через аукцион предметы разлетаются как горячие пирожки даже при цене выкупа ниже на 2-5% от средней.
ММОзговед: Сложно, да. Хорошо, а если вводить рейтинг доверия к конкретному игроку как кредитный рейтинг в банках (дата создания персонажа, количество обращений в ТП, качество этих обращений).
Сергей Теймуразов: Нам сложно представить такой рейтинг, чтобы он был и понятным для игроков, и логичным в работе поддержки.
ММОзговед: Понимаете, что тут вызывает беспокойство – детали, которые вы раскрыли, действительно делают вашу позицию более понятной, но они не отменяют того простого факта, что с точки зрения нормального игрока качества сервиса явно упало по сравнению с периодом, когда возвращали все.
Сергей Теймуразов: Про качество сервиса я уже говорил ранее. Восстановление предметов в итоге привело к общему падению качества. Отказ от восстановления значительно уменьшил общий процент взломов и повысил уровень «собственной безопасности» со стороны игроков.
ММОзговед: Во всей этой истории процесс расследования остается, по понятным причинам, за пределами наблюдения игрока. И создается впечатление череды частных случаев, персональных подходов, в которых нет прозрачного алгоритма. Вы объяснили, почему так происходит, довольно убедительно объяснили, но игроку все же может казаться, что все зависит от каких-то персональных отношений с представителем техподдержки. Он может пойти навстречу, может не пойти. Возможно, это делает меня зависимым даже от настроения конкретного работника техподдержки.
Сергей Теймуразов: Также уже отвечал на этот вопрос. Восстановление зависит исключительно от результатов взлома. Настроения и «хотелки» тут ни при чем. Это работа, результаты которой проверяются внутренней службой контроля качества. «Хотелки» тут не уместны.
ММОзговед: Да, теперь намного понятнее. И ваши мотивы, и ваши методы, и ваши трудности. Давайте тогда вы дадите несколько советов тем, у кого случилась неприятность со взломом его учетной записи. Прежде всего, как я понимаю, ему все же нужно обращаться как можно скорее в службу поддержки и добиваться возвращения хотя бы части вещей. Верно?
Сергей Теймуразов: Да, верно. Как можно скорее обратиться, как можно подробнее все рассказать, если вдруг кому-то сами дали пароль – не скрывать это, так как все сокрытое только увеличивает сложность разбора, но все равно в итоге выясняется. Если вдруг использовали этот логин и пароль для других сайтов – обязательно это рассказать, так как это позволит при определенных обстоятельствах обезопасить других игроков, а так же в некоторых случаях пресечь продажу украденных предметов.
Подробнее написано у нас на странице техподдержки: games.mail.ru/support/aa/#/questions/1539
Там же можно подать заявку по этой проблеме.
268 комментариев
И можно я еще внесу ложку дегтя?.. Следила за историей о взломе, хотя тогда еще не была зарегестрирована на ммозге. Так вот, насколько я помню, вернули, в числе прочего, и дельфийские монеты. Вопрос — как? Не вяжется с описанной схемой.
Хорошо. Если учесть все приведенные аргументы, какой вариант тебе кажется наиболее правильным?
Я не играю с тобой. И у меня нет цели тебя переиграть. Я хотел обсудить с тобой проблему, но оказалось, что она не твоя. Я понял.
Но раз ты настаиваешь, то давай обсудим. Можешь начать с ответа на всё, что ты не процитировал.
Я не понял, к сожалению. Что за уровень ниже? Тебе не сложно пояснить?
Играя в ГВ2 с разных компьютеров мне приходилось каждый раз подтверждать вход на почте. Близзы при подозрении на взлом тоже блокировали всю учётку. Если мейл не хочет вводить смс подтверждения, то надо вводить необходимость запасной почты. Я повторюсь, я не знаю тонкостей, но именно на устранении взломов и надо продвигать безопасность, а не в лоббировнии невозврата вещей в игре под предлогом коллективной ответственности.
Наведите справки: все это есть в ВоВ и СВТОР.
Вообще, лучше бы просто делать так, чтоб ошибок с соблюдением безопасности было меньше и подталкивать самого юзера их не совершать: создать чёрный лист плохих паролей, создать надёжные генераторы паролей, просить менять их хотя бы раз в месяц или два и заставлять принудительно менять после подозрения на взлом или передачу пароля другому лицу, ввести мобильную аутентификацию и так далее.
Из всего перечисленного тобой — эффективным будет только мобильная аутентификация. Я что-то о ней совсем забыл. Она бы помогла избежать многих проблем, а придумали её уже давно.
Так что это хороший вопрос к маил.ру.
Я не знаю, что мешает. Я не вижу таких преград, а ты? Можно примеры таких проектов и, если есть, то случаи взломов и возврата вещей? Я почитаю форумы и посмотрю что и как.
Значит другие игры от такого абуза как-то защищены, раз такое не происходит повсеместно. Если АА не может, то это проблема игры, а не игроков.
У меня в сумме 4 раза ломали 2 моих аккаунта и аккаунт брата в ВоВ. Каждый раз я обнаруживал взлом только требованием сменить пароль и оповещением на почте. Все мои вещи были на месте, а персонажи были в том состоянии, в каком я их оставил, когда выходил в последний раз. Пример подходит? А то я не очень понял вопрос.
Эм… WoW?! В игре, где все более-менее ценное непередаваемо в принципе?
Как? Я не вижу способа защититься от такого мошенничества со стороны игроков. Я привел вам пример как можно воспользоваться таким доверием со стороны разработчиков. Можете мне привести в пример игру с такими условиями и у которой есть защита от такого мошенничества? Я вижу защиту только в невозможности передавать игровые ценности. Мне такой подход не нравится. Может у вас есть другие варианты?
Угу, то есть в игре которой много лет и есть мобильная аутентификация продолжаются взломы персонажей? То, что у вас дальше не прошли, не означает, что у других, более легко относящихся к защите в интернете, не взламывают аккаунты.
Примерно такого характера получаешь сообщение, если заходишь с нового компа
Dear Gamer,
An attempt has been made to log in to your En Masse Entertainment account from a new or unknown device. If you did not try to log in to your account recently, your account password may be compromised. Please change your password immediately.
Please enter the account armor code below when prompted by the website to complete the authentication process.
Account Armor Code: R9MDF
ГВ2 тут уже упомянали.
Да и в стиме тоже подобная защита есть. Если подумать мне легче назвать проекты в которых нет такой защиты, чем те где она есть.
Вот смс аутентификация может свести такие ситуации к минимуму.
Ну а так да, только код подтвержения по СМС.
Или как в ГВ2 через гуглоавторизацию.
На Корее требуют каждые три месяца менять пароль.
Мне кажется, странно исключать вероятность взлома в принципе. И, мне кажется, что если рассматривать ситуацию после точки, где злоумышленник все же завладел учетной записью, в интервью сказано много важного. То есть весь сыр-бор в изначальной истории был не о том, что «блин, меня взломали», а о том, что было после. Но да, на мой вопрос об уровне ниже ты ответил. Тут я согласен — улучшать защиту можно и нужно.
Таким образом, до взлома у нас была вещь Х и 100г на счету непричастного покупателя Y; после проведения расследования в игре осталась вещь Х (она у этого покупателя), а 100г исчезли вместе с банами, которые, как утверждает мейлру, происходят. Таким образом, не возвращая ценности после взлома, мейлру фактически уменьшает их номинальное количество, непосредственно влияя на экономику, при том в гораздо большей степени, чем было бы, если бы ценности после расследования взлома возвращали бы.
Я бы очень хотел чтоб это как-то прокомментировал Сергей Теймуразов, например в следующем интервью.
Я категорически не согласен с тем, что на дубликацию вещей можно закрывать глаза, потому что представляю себе, насколько серьезной тогда становится уязвимость всей экономической системы. К тому же в интервью явно упоминается в качестве одного из последствий стопроцентного возврата, в частности, аккаунт-шарринг, который принципиально не может быть защищен. Также в явном виде упоминался абьюз системы с участием десяти человек.
Еще раз хочу обратить твое внимание на то, что есть две проблемы:
1) уязвимость учетной записи
2) действия, которые должна произвести техподдержка, в случае, если доступ к учетной записи был все же временно утерян
Это разные ситуации. Ну, во всяком случае, для меня. Потому что я не готов поверить в существование стопроцентной защиты от взлома, в отсутствие аккаунт-шарринга («та дай поюзать, ты что, не доверяешь? я же твой соклан!») и в отсутствие псевдокраж.
Структура логов такова, что невозможно проследить цепочку из 10 человек? Нет ну серьёзно, аргумент на уровне, что расследовать преступления и вскрывать организованную преступность слишком сложно, поэтому этим не надо заниматься.
Послушай, но как вообще какая-то система может что-то гарантировать, если в сути аккаунт-шаринга лежит добровольная передача доступа к учетной записи?
Я уверен в том, что любая опытная группа может очень легко замести любые следы, в том числе и десятком вполне легальных сделок на аукционе.
Воздействие на экономинку со стороны мейлру уже происходит. Либо не происходит, если расследования взломов не доходят до аккаунтов ГСов, где оседают деньги, а значит мейл плохо справляется.
Никто и не говорит о 100% защите. Мы говорим лишь о минимализации воздействия как самого случая взлома и его последствий, так и защиты от него.
Да, но интервью разбирает совершенно конкретную стадию ситуации, которая происходит после чекпоинта «вас взломали». Собственно, и заметки называется «Если вас взломали».
Я тебя хочу вернуть к моей позиции про «уровень ниже». Конкретную же ситуацию мы вдоволь нарассматривались в кьярриных темах.
Я не хотел тебя расстраивать, но, извини, ты рассматриваешь гипотетическую ситуацию о глупый шарообразных лошадях в вакууме, которые занимаются одноходовками, не примешивают в свою деятельность легальные сделки на аукционе и ждут, когда по их душу придет техподдержка. Собственно, я не против того, чтобы ты ее рассматривал, но это не утверждение «Воздействие на экономинку со стороны мейлру уже происходит». Я не вижу никакого воздействия на экономику, если, допустим, удалось весь клубок распутать, вещи вернуть, а деньги изъять. Но если этого не происходит (а в каких случаях этого не происходит в интервью описано довольно подробно), то обязательства по стопроцентному возврату имущества автоматически обозначают дублирование внутриигровых ценностей.
Я еще раз хочу обратить твое внимание на то, что стопроцентной защиты не бывает. В этой теме происходит рассмотрение ситуации после взлома. Взлом произошел. С тем, что нужно усиливать защиту, я согласен. Но прошу тебя согласиться с тем, что эта тема рассматривает ситуацию, при которой взлом все же произошел.
Как ты думаешь, как чаще всего злоумышленники получают доступ к аккаунту?
И как ты представляешь себе победу «личности над обществом» в этой истории?
В сухом остатке игрокам как и прежде необходимо тщательно следить за безопасностью, не «засвечивать» данные где бы то ни было. Но это все известно с незапамятных времен.
А что касается вечной войны с нечистыми на руку товарищами, так позволю себе пофантазировать слегка, раз есть схемы «увода» честнонажитого, значит стоит ставить преграды на пути их реализации, например:
* если чаще используются «новореги», слегка подрезать им игровые функционал и инструментарий, пока не проявят «определенную активность».
* возможно добавить некий оповещатель для игрока, что в данный момент его учетка зашла в игру и дать игроку возможность некой блокировки оной в случае подозрения на «угон» (на манер кредитных карточек), дабы снизить риск потенциального переноса и реализации накопленного добра.
В таком ключе, полагаю, можно придумать очень много мер противодействия. В любом случае важным остается факт, что поддерживающим русскоязычный проект структурам (как разработчику, так и локализатору) стоит озаботиться подобными задачами заблаговременно до выведения проекта в стадию релиза. Вероятно невозможно придумать таких игровых правил, которые учтут все возможные сценарии (риторика в духе «перпетум мобайл»), однако в их силах создать как можно больше препятствий на пути злоумышленников.
Минусы в том, что рассылка смс может оказаться дорогостоящей. Основную почту уведут вместе с аккаунтом, а доп. почтой никто не будет пользоваться. В данном случае возможность разных паролей для почты и входа в игровой центр очень бы пригодились. Опять таки, если этой возможностью будут пользоваться.
Мне кажется, что появление таких возможностей приведет к незначительному уменьшению взлома аккаунтов. Т.к. взламывают обычно тех, кто не заботится о своей безопасности в сети.
Игрока ничего не убережет, если сам сервис дырявый и любой более менее соображающий хакер сможет или сбрутить пароль, или еще что-либо сделать.
И тут возникает элементарный вопрос — если сервис дырявый, то почему нет массовых взломов?
А их точно нет? Или просто хакерам интересны другие сервисы, нежели aa.mail.ru?
Оба вопроса странные. Второй исключает первый, а первый пытается заставить меня разоблачать твое обвинение. :)
Да, но логин — это часть цепочки, как открытая буква в кроссворде.
В случае с Mail.ru — нет. У них есть сервис Деньги@Mail.Ru и все содержится на одной почте, как и аккаунт по АА.
Я не знаю внутренней кухни АА, но на мой взгляд, здесь подходить к решению проблемы нужно со стороны уменьшения выгоды(окупаемости усилий). То есть бороться в первую очередь с голдселлерами, как с основными источниками и взломов, и ботов.
Уменьшить выгоду от взломов можно только если как-то ограничить передачу игровых ценностей между игроками. Это не кажется мне хорошим решением.
Куча вариантов связанных с подбором и угоном паролей. Но от игрока зависит далеко не все, например:
1. Archeage и mail.ru. Аутентификация по паролю и общий аккаунт на игру, почту и бог еще знает какие услуги.
2. Guildwars2 и gmail. Что бы зайти в gw2 одного пароля не достаточно, нужно еще подтвердить ип адрес на почте. Что бы зайти на почту нужно авторизовать ПК, используя одноразовый код доступа по смс.
И получается полный раздолбай во втором случае защищен на порядок лучше параноика в первом.
Только надо отметить, что двухэтапная авторизация gmail не является обязательной, а без неё смс с паролем для входа с несанкционированных устройств не приходит.
Хотя я двумя руками «за» как минимум введение отдельных паролей на вход в почту и в игру.
Короче объяснение в интервью дано для совершенно неподготовленных людей, или людей которые просто не хотят задуматься о том как ходят вещи ресурсы и деньги по миру игры.
Вот с этого места я потеряла суть, вообще. Я скромно надеюсь, что понимаю как они «ходят» по миру игры и статья, как мне кажется, затрагивает эту тему напрямую. Есть какие-то важные моменты, о которых умолчали? Хотелось бы их услышать, а то ощущаю себя деревом и даже не понимаю, почему.
Каждый кто озадачится хотелкой конвертировать украденную вещь в золото или ресурсы — сможет это сделать. И вы никак не вернёте эту вещь хозяину не потревожив того, кто например купил ресурсы в которые эта вещь превратилась. Именно это в интервью и разжёвывается. Нельзя просто взять и вернуть вещь законному владельцу.
Привязка к телефону у mail.ru никак не помешает воспользоваться аккаунтом с левой машины, в отличие от gmail. Привязка к почте соответственно тоже.
Запретить вход с постороннего ip адреса с mail.ru тоже нельзя. Там есть «Сессия только с одного IP-адреса», но это немного другое и еще не факт что распространяется на архейдж.
СМС аутентификация в этом плане лучше и я вообще не понимаю как такая богатая компания как мейлру может экономить на таком простом и эффективном методе защиты. Просто видимо это им не нужно…
Есть готовое решение от Google: code.google.com/p/google-authenticator/
Мобильное приложение под такую вещь делаетcz очень просто.
Черт побери, с этим вопросом с легкостью справилась даже слоупочная BioWare. :)
Это конечно клёво, что вы таки добавили этой девушке ещё и ммозг, кажется именно она ещё год назад вела (ведет?) группу вконтакте…
Но забавно то, что на давно освещающем проект ммозге давно зарегистрирован комьюнити менеджер мейла который написал (О БОЖЕ!) целых четыре комментария на сайте, причём лишь в посте который её собственно и представляет. Пффф.
Сергей, ну вот честно, это несерьезно. Адекватное участие видно только с вашей стороны, такое ощущение, что вся компания кладёт болт на проект и вообще на людей.
Meкona как я понимаю именно «гость студии».
Ну и все же в данном проекте именно компания ведет себя очень неплохо. Есть косяки отдельных работников в отдельных направлениях это не отнять.
Но есть кое-что новое, в тексте нам говорят, что отказ от компенсации потерянного — это воспитательная мера: теперь вы будете заботиться о безопасности своего аккаунта!
Спасибо за заботу, но позаботьтесь сначала о безопасности самой своей игры, в которой день ото дня находят новые дыры и баги, о безопасности своей системы верификации (тут выше все уже сказали на эту тему), и докажите, что нас взломали по нашей же вине до того, как применять к нам упомянутые воспитательные меры. А, и да, борящиеся со злом голдселлерства методом ничего-не-делания-для-потерпевших: перестаньте давать интервью и эксклюзивы, а также ссылки на главной странице на Гоху, которая является одной из самых мощных рекламных площадок для голдселлеров. Или вам показать, где именно на Гохе висит реклама их сертифицированных, официальных спонсоров по Архейдж? Скрин приложить, фрапс или ссылки хватит? Мне наплевать, я не против этого форума, он всегда был весьма специфический площадкой, но вы уж определитесь с чем-то, кроме причин, по которым вы чего-то не делаете.
В тексте много пунктов о работе локализатора, которые интересны для общего развития, но не должны быть проблемой и частью бытия конечного потребителя. Конечный потребитель должен получить сервис, услугу, а не чувство сопричастности: ничего, что с голым торсом и без последней рубашки, зато Мейл.ру легче работать. Более того, в игре, которая рассчитывает сформировать долгоживущее коммьюнити с устойчивыми социальными связями, чувство безопасности игроков — все, что мы делаем, не сгорит, не обнулится и не будет украдено из-за дыр и багов — видится мне чертовски важным. Но вам тут виднее, конечно, продолжайте заниматься воспитательной работой с коммьюнити и борьбой с голдселлерами за наш счет.
Нет, ну тут я никогда не была строга ни к Гохе, ни к Мейл.ру, но когда они пытаются бороться с голдселлерством методом отказа от помощи нам — вот тут я начинаю спрашивать о том, где, собственно, их совесть, и не держат ли они нас часом за полных идиотов.
либо Сергей Теймуразов не взаимодействует с Гохой и подобными сайтами и гильдиями, продвигающих услуги ГСов, и не знает о таком сотрудничестве, что звучит по отношению к продюсеру проекта, согласитесь, очень фантастично. Но в таком случае это именно тот случай про две руки.
Либо же мы имеем дело с откровенным лицемерием, что звучит не так фантастично, но достаточно некрасиво. :)
Ну и да, печален профессиональный путь продюсера, который не читает собственный сайт… ну хотя бы главную страницу.
Захочу ли я участвовать в обсуждении других тем — мое личное дело, ты не находишь? По крайней мере, правила этого портала не требуют от меня комментировать все или ничего. Впрочем, как и правила любого другого сайта в интернете из числа мне известных. Если я не права, то как администратор ресурса — поставь меня в известность, пожалуйста.
Я хочу понять логику. Что отличает эту тему от других?
Заметь, мы обсуждали какие-то конкретные, пусть и острые вопросы, и тут внезапно! ты решил обсудить со мной меня в этаком спонтанном переходе на личности, вернее — личность. Не уверена, что это конструктивная позиция, но тебе, как отцу-основателю ММОзговеда, виднее.
К сожалению, ты невнимательно прочла интервью. Возврат вещей не на руку голдселлерам (им-то как раз глубоко плевать), а дублирует игровые ценности в игре, в случае, если их невозможно отследить и изъять.
Хм. Я честный игрок, я вкладываю время, силы, а опосредованно еще и деньги (для содержания фермы нужно платить за премиум, не забываем об этом) в получение игрового результата, и я теряю все, что заработала, и что нужно мне для нормального игрового процесса в будущем. И мне не возвращают результаты моего легального игрового «труда» потому, что локализатор не способен отследить перемещение предметов в игре? Не уверена, что это моя проблема. Не уверена, что я должна платить за неспособность локализатора что-то сделать. Не уверена, что незащищенность честных игроков от абьюза со стороны злоумышленников — то, чем можно с легким сердцем пожертвовать ради спасения мира игры от опасности «дублирования» наших сбережений.
По сути, все, чем мы занимались в игре несколько месяцев, от счастливых-удачных проков и трофеев, полученных в результате напряженной аукционной схватки до результатов ежедневного кропотливого труда/сбора ресурсов — перечеркнуто и выброшено на свалку. И мне предлагают закрыть на это глаза ради общего блага? Я не уверена, что в социальной игре это «благо» важнее игровых эмоций и игровой безопасности. Я не уверена, что жертвовать чем-то должна лично я или мои друзья. В итоге платим за этот банкет именно мы, Мейл.ру умывает руки.
Если ему приходится идти на такие жертвы ради продвижения проекта, что ж, мне жаль, но меньшим лицемерием по крайней мере это не становится. Я не буду прятаться за показную вежливость, и кланяться в пол, дабы продюсер проекта на меня не осерчал, не стану.
Вместе с тем, я делаю все от себя зависящее, чтобы постепенно в рунете появился «белый» информационный ресурс для ММО без всей этой гадости от голдселлеров.
Я знаю, что вероятнее всего, это не единоличное решение С. Теймуразова о сотрудничестве с гохой, что он вынужден так поступать из-за фактического отсутствия других крупных игровых площадок в рунете. Я могу лишь его пожалеть в этом смысле, но от мнения своего не отступлюсь.
Обвинять кого-то в том, что он способствует абьюзу игровых правил, может только тот, кто сам этому не способствует.
А то, что мейлы сами своим сотрудничеством, если не сказать пособничеством, провоцируют взломы ГСами, это они как бы и не при чём. Вот это лицемерие, Атрон.
Я совершенно не так воспринял эти слова. Совершенно не так.
И я не совсем понимаю, Мейл.Ру можно, а Деквену нет? Нет, ну правда?
В «подвале» сайта.
Можно что? Размещать на своем ресурсе рекламу голдселлеров? На мой взгляд, нет, нельзя — ни Деквену, ни мейл.ру. А вот на вопрос, может ли Деквен дать интервью гохе на ее страницах с критикой голдселлерства без риска быть обвиненным в лицемерии, ответ тоже однозначный, хоть и субъективный — да, может.
Это как разговоры про «красть нехорошо» и «коррупция это зло» от ряда российских чиновников, которые сами неоднократно замечены в «серых» делах.
Я приведу намного менее запутанный и более очевидный пример: если бы Деквен просто дал интервью о своем проекте на гохе, у меня лично (спрашивали ведь мое личное мнение, да?) не было бы никаких претензий к нему в плане симпатий к голдселлерам или лицемерии. Но вообще, повторюсь, на мой взгляд выбрана самая тупиковая из возможных логических ветвей в беседе. Зачем это сделали одни участники дискуссии, я прекрасно понимаю, зачем к этому присоединились другие — увы, нет. Но каждый имеет право на свою точку зрения, конечно же.
К сожалению, наши просьбы убрать эту рекламу были отклонены. Я надеюсь, что в какой-то момент и другие издатели присоединятся к этой просьбе и это повлияет на администрацию того ресурса.
Этот ресурс нельзя игнорировать, потому что там собрано огромное количество информации по ArcheAge и им пользуется большое количество игроков АА. Я могу сравнить это с призывом не пользоваться Интернетом, потому что там можно наткнуться на мат или порнографию.
Гоху вы «игнорировать» не можете, а наши проблемы — да сколько угодно. Вам сложно чинить игру, вам тяжело исправлять ошибки, вы неделями тянете с фиксом уязвимостей, вынуждая игроков справляться с этим самостоятельно, но при этом вы не забываете добавлять в игру всякие штучки за реальные деньги, включая и безальтернативные улучшения. А когда игроки сталкиваются с серьезными проблемами, вы разводите руками — ну, потерпите ради блага игры, чай, не бояре. Отличная клиентоориентированная политика, называется «клиент должен всегда».
Ганди не лавировал и не мог сказать такое:
И эта «размазанная» позиция воспринимается совсем уж неоднозначно. Suitta говорила о том, что неплохо было бы спросить о том что ценно для игрока. Да и вообще, что это за лавирование? Есть официальная позиция, но так уж и быть, вот вам исключение? Мне это вообще не нравится.
Восстановление зависит исключительно от результатов взлома. Настроения и «хотелки» тут ни при чем. Это работа, результаты которой проверяются внутренней службой контроля качества. «Хотелки» тут не уместны.
Можно быть согласным или несогласным с методами и инструментами, но странно утверждать после всех этих объяснений, что возврат вещей — это какое-то персональное исключение.
Да, конечно. Но меня интересуют именно официальная позиция и реальные решения. Вяжутся ли они у них.
Я пытаюсь понять другую сторону. Это многих раздражает, понимаю, но иначе я не вижу диалога. «Меня это не интересует, это ваша работа» — не модель диалога. Это модель конфликта. Тупик в общении, после которого можно разве что хлопнуть дверью. И нет, как бы меня не пытались убедить в том, что это «западная модель», я с этим согласиться не могу, потому что в западной модели идут в суд, где судья будет сидеть и разбираться точно так же скрупулезно, кто прав, а кто — нет. Я в суд идти не готов по куче причин, поэтому пытаюсь вести диалог. И других к нему призываю.
Кроме того, необходимо перенять опыт в массовой защите пользователей у других компаний. С этим, кажется, ты не спорил. Но это является основной отправной точкой в диалоге. Не обвинения игроков в том, что они все становятся распущенными и не следят за своей безопасностью, а шаги компании по предотвращению взломов в ногу со временем. Привязка к мобильному, к программе в мобильном, подарки за привязку, доступные и открытые широкому кругу пользователей статьи и баннеры на сайте по безопасности, кампания по защите почтовых ящиков, как у гугл, отсутствие спама в этих ящиках, если ты не светишь адресом (большой вопрос к безопасности ящика, если я его создал только для игры, а сегодня там увидел 25 сообщений спама от левых людей). Всего этого не видно и защищать свою позицию виной игроков я нахожу неприемлемым для диалога.
Да, хорошая формулировка, мне нравится. Надеюсь, что ее прочтут представители mail.ru.
Еще раз хочу обратить внимание на то, что я вел диалог с точки зрения человека, с которым уже произошла неприятность — его взломали. И заметка называется «Если вас взломали». Мало того, в предисловии к заметке четко сказано, что темой диалога стала попытка разобраться, почему в совершенно конкретном случае был применен индивидуальный подход и как это может помочь другим игрокам, оказавшимся в подобной ситуации.
Обрати внимание, что ниже есть совершенно конкретная история о том, что человеку не вернули персональные вещи. Опираясь на это интервью, он вполне может послать повторный запрос в службу поддержки с требованием разъяснить ситуации на основании слов продюсера проекта, приложив ссылку на это интервью.
Скажу тебе честно и откровенно, что вести диалог о методах защиты я не возьмусь, потому что чувствую, что в этой теме я не разбираюсь достаточно хорошо. Если кто-то разбирается, он мог бы сделать довольно подробную заметку о методах защиты в других проектах, сделать сравнительный анализ. Думаю, это был бы хороший и полезный критический материал. Вполне конструктивный.
Я согласен с тем, что интервью может позволить разговаривать дальше и править ситуацию, если того захочет руководство компании mail.ru. Мне не понятно пока только хочет ли она этого. Было бы здорово услышать комментарии по этому поводу от представителей компании. Я не играю в АА пока что, так как не играю вообще в игры в первые месяцы их выхода (разве что зайти побегать недолго), но возможно буду играть в нее через месяц или два. И поэтому меня все еще волнует будущее проекта. Хочется надеяться, что мы сможем вести диалог, который приведет к положительной тенденции и увидим в действиях компании какие-то результаты этого диалога. Я помню историю с арками и был приятно удивлен решением, но тогда взорвалось все сообщество. Сейчас же такого нет и это как раз следующий уровень взаимодействия компания-человек. Я не призываю каждого сейчас взять интервью и бежать
воеватьобщаться с техподдержкой. Если у вас нету такого желания, никто вас не осудит. Но это сильно поможет развитию игры, как я считаю. И история Fallenstar , например, может закончится по-другому, а потом история еще одного человека, а затем и формулировка на сайте может поменяться. Вопрос только в том, интересно ли это компании.Это мое личное восприятие, конечно же, сугубо субъективное. Но я в этой статье вижу оправдания и не вижу ни диалога, ни желания компании сделать клиентам хорошо, а только желание сделать хорошо себе.
И прекрасно понимаю, почему у большинства комментирующих такая реакция и почему она не такая, как хотелось бы тебе.
Если даже поудалять все ссылки на Гоху, её читать меньше не станут, и покупать голду — тоже. Доля игроков, которые узнали про этот сайт из оф новостей — капля в море.
Гоха, в свою очередь, тоже не уберёт рекламу, тк за это хорошо платят. Тут работает принцип «ничего личного, онли бизнес».
У нас тут презумпция виновности, как я вижу. Мне не будут ничего возвращать, так как я могу оказаться нечистым на руку человеком, решившим удвоить свое состояние. Или наивной девочкой с паролем «qwerty». Доказывать, что я не являюсь ни тем, ни другим, почему-то опять приходится мне, прямо как в случае с багоюзерами. Очень удобно. Кого-то хвалят за сократившееся на 5% количество взломов, а кто-то в один миг теряет все, на что потратил многие выходные и вечера после работы.
Напоминает школьное «Вася и Петя сегодня шумели на уроке, а потому весь класс задержится на перемене». Только Вася и Петя не прекратят хулиганить. А остальной класс будет страдать.
И да, возвращая ценные вещи, уточните у игрока, что именно он считает ценными вещами. Дельфиские звезды зарабатываются за один вечер плавания на шхуне. А искрящуюся древесину можно ждать неделями.
Все ценные вещи должны привязываться к аккаунту и ломаться на дешёвые ресурсы. В АА наоборот, топовые шмотки передаются, земля легко передаётся. Как следствие, взламывать аккаунты очень выгодно. Для взломщика, продал 1 БП — уже 300 р в кармане, продал золото, шмотки и ресурсы из банка — ещё тысяча, а то и несколько. Конечно, взломов будет много.
Сравним с ГВ2: всё привязано к аккаунту, топ-шмот выбивается с боссов, данжей или крафтится из привязанных к аккаунту ресурсов. Взломщик может разве что поломать на глобы эктоплазмы стоимостью 30 серебра (это немного). Восстановить всё можно без проблем и без ущерба экономике.
Как можно исправить: при сносе дома (пугала) он должен сноситься не сразу, а через неделю. И не просто исчезать, а организовываться аукцион на землю длительностью несколько дней. Чтоб было честное соревнование за землю, а не «у кого быстрее кликер и меньше пинг».
Шмотки должны привязываться при одевании. И если даже взломщик их сломает на жалкую призму акхиума, вещи можно будет восстановить без проблем. Ещё лучше привязка при создании, это палка о двух концах — будет куча воплей «Почему я должен качать крафт шмота, чтоб одеться?» и «Почему я не могу задонатить и купить шмот?». Тут однозначного решения нету.
После этого места читал с большим трудом, потому что внутренне категорически не согласен. Более ужасной системы, чем привязка вещей к персонажу, в ММО придумать сложно, на мой взгляд. Для меня не может быть никаких оправданий такому решений, будь то безопасность или борьба за права панд. Это выплескивание ребенка с водой. Это уничтожение в игре кучи возможностей: сделать подарок, помочь другу, продать на рынке, передать на время. В двух моих любимых проектах — LA2 и EVE — любая вещь передается. И это прекрасно. Я выбираю именно такие игры и абсолютно четко осознаю, за что их ценю. В том числе и за те возможности, которые дает отсутствие привязки предметов.
А в LA2 и EVE есть аналогичные проблемы с невозможностью восстановить вещи при взломе? Может, дело тут не в АА и не в Мейле.
Я 12 лет слоняюсь по серверам и играм любого типа. Многие люди знали, что мой аккаунт ОЧЕНЬ! сильно развит и там есть чем поживиться. Но ниразу за эти годы не было взлома! Как же так? А я вам обьясню: У меня пароль из 11 символов, и его знают(даже сейчас) 3 человека. Я не хожу без защиты по сомнительным сайтам. Не ввожу нигде свой пароль от игрового аккаунта. Не хочу показаться «лицемерным» — но 99.9% аккаунтов страдающих от мистического «взлома» — на деле просто подарили кому-то свой пароль. Возможно поймали гадость, приняв от «знакомого» или «девочки» фоточку с расширением .exe Возможно они засветили пароль в публичном месте. Возможно ЧТО УГОДНО! Но в этом чём-угодно почти всегда виноват сам пользователь.
Я хочу увидеть на сайте AA лишь одно. Полный отказ от возврата вещей(любых) и максимально развернутое описание пользовательской защиты от взломов. Многие, судя по этой теме — даже примерно не знают чего делать нельзя.
Еще один адепт религии «пользователи-сами-виноваты».
Вы конфетку хотите или что?)
Вроде хорошее решение.
Если ОР катастрофически не хватает, а у друга их 5к и ему лень заходить в игру, многие ли откажутся от халявных ОР? Нет, единицы.
Если для крафта шмоток нужен прокачанный крафт, но крафтер докачал до 50к и забил на игру, то вся конста останется без одежды? Нет, конечно.
Эти проблемы уже так просто не исправить. Если начать менять геймдизайн для этого, получится уже совсем другая игра.
Именно из-за налогов людей призывают нарушать соглашение, если они куда-то уезжают. Ведь оплачиваем ПА мы именно из-за имущества, т.е. земли и потерять ее очень дорогого стоит.
Любая система оплаты налогов сроком меньше чем на пару месяцев и квесты/данжи в строго фиксированное время/день недели будут соблазном для аккаунт-шарринга. Вот только проблема здесь, как мне кажется, больше в людях, чем в игре.
Так что проблема как раз в игре, а люди обычно выбирают самый простой вариант. Другое дело, что если проще всё сделать самому, то и друзья/консты не особо нужны.
А если вообще плюнуть на игру, так с аккаунт-шарингом проблем не будет в принципе. :)
Если серьезно, то в контексте приближающегося лета есть только одна серьезная претензия, да — это оплата налога на недвижимость. Вот она реально стимулирует аккаунт-шарринг, согласен.
номер запроса: [#WIE-410-71321]
Ответ тех. поддержки
Добрый день,
Нашими специалистами было проведено расследование по Вашему запросу.
К нарушителю было применено наказание, предусмотренное игровыми правилами.
Настоятельно рекомендуем Вам произвести полную проверку компьютера на наличие вредоносных программ. В некоторых случаях данное действие поможет избежать повторных взломов.
К сожалению, возврат игровых ценностей, утерянных в результате взлома, не производится.
Землю даже вернуть нельзя без очень долгих разбирательств с новыми хозяевами и больших обид в любом случае. А взломанный потерян как клиент с большей вероятностью чем купивший/занявший. Так что скорее всего пошлют с разной степенью вежливости.
2. Общий доступ к земле дается через настройки пугала/дома, никаких хитрых команд не надо
Это не аргумент. Мейл.деньги спрашивает паспортные данные? Вроде нет.
В чем проблема? Да во всем, начиная от самого факта их обработки, кончая законодательством РФ.
У нас нет законодательства об интернет-паспортах, как в той же Корее (КССН).
Недаром сам Касперский писал о необходимости введения интернет-паспортов.
А можно конкретики? Вы и в прошлый раз заблуждались насчет ПД, может и сейчас что-то не так понимаете.
но дело не в том как это реализовать, а зачем? Это же никак не поможет защитить твой аккаунт. Ну знают маил.ру, что это именно твой аккаунт. Как это защитит тебя от взлома или не даст тебе совершить мошенничество? Вот в чем не состыковка. А не в обработке ПД или интернет-паспорте.
От взлома не защитит, да. Но аккаунты, на которые будет передано золото, будут привязаны к конкретным ПД точно так же, как и аккаунт жертвы. Наказание врубить можно по полной программе, даже если это паспорт бабушки.
Какие наказания? У нас для этого нет законодательной базы или я ошибаюсь? Или вы про кражу ПД? Так это ещё нужно будет доказать. У меня нет маил.денег, так что не могу глянуть и проверить. Но что-то мне подсказывает, что они не хранят ваши ПД типа серии паспорта и т.д. на вашем аккаунте. Зачем им это? Пользы от такого ноль, а вреда может быть много.
Я думаю будет достаточно фотографии где отчетливо видно твое лицо и страницы паспорта с фотографией.
Речь идет о законодательно закрепленной обязательной регистрации реальных данных в любой онлайновой игре, как это сделано в Корее.
Также мне кажется, что у нашего государства есть куда более насущные проблемы решение которых более позитивно скажется на нашей жизни, чем закрепление регистрации в интернете.
Но сама идея хорошая. Реализовать её сложно в наших реалиях.
Какие именно и как они относятся к АА?
Я уже ответил ниже как.
Какие именно данные? Скорей всего паспортные. Возможно что-то ещё. Все это вы можете узнать сами пройдя и попробовав зарегистрировать в маил.деньгах.
Как это относится к АА? Наш диалог начался с того, что человек предложил маил.ру ввести идентификация по паспорту для АА. Вы увидели какие-то проблемы связанные с этим. Я вот хочу узнать какие, а вы не отвечаете. Только вопросы мне задаете.
Т.е. конкретно вы не знаете?
У нас, насколько я знаю, как минимум нет законодательства, по которому можно наказать взломщика игрового аккаунта или другие санкции на него наложить (в случае регистрации по ПД). К тому же еще не известно, имеется ли в Mail.Ru все инструменты по обработке ПД и вообще имеет ли компания право из обрабатывать. Я не в курсе.
Просто так в текущих реалиях делать регистрацию по ПД нереально.
Только что зашел на деньги.майлру. Ничего не спросили и уже получил свой счет. Где тут ПД?
Можно. Как минимум потому, что злоумышленникам после бана придется искать новые ПД для регистрации.
Про деньги маил.ру попозже отпишусь. С работы не могу зайти на их сервисы нормально.
А то что я отдаю свои ПД Mail.Ru и не знаю что с ними будет в итоге — это нормально?
В Webmoney требуют ПД (паспорт и прочее) для регистрации WM-паспорта, чтобы открыть дополнительные возможности. К тому же, чтобы перевести на банковскую карту в ВМ нужен ИНН. Но и защита сама в ВМ похлеще, чем в Деньги@Mail.Ru. Постоянные проверки телефона, сертификаты с ЭЦП и прочее.
А не дорого ли обойдется это Компании, чтобы устраивать такие глобальные перемены ради АА? Ведь защита не должна превышать по стоимости стоимость охраняемого объекта или ущерба при его утрате?
Не думаю, что стоимость организации ограниченного доступа к аккаунтам с ПД будет ниже, нежели отток голды к ГСам.
Бегло почитал закон о ПД. Как минимум согласие на обработку ПД субъект ПДн должен подать в письменной форме. В реалиях регистрации игрового аккаунта это невозможно.
Странный вопрос. В Корее как минимум можно попасть в суд за кражу или взлом, а также за использование читов. А все потому, что в игре ты идентифицируешься как личность с паспортом, а не просто только что созданный аккаунт. Конечно, все пляшет от законодательства в этой сфере.
А защита — опять же как минимум защита персональных данных, за взлом которой можно попасть под суд. Причем попасть в суд может не только взломщик, но и тот, кто защищает, ибо есть возможность, что его защита не соответствует всем требованиям, возложенных государством по закону.
Все верно, косяки системы есть и в Корее. Любая система никогда не будет давать 100% защиты. Хакер всегда будет впереди.
О переносе в российские реалии речи не идет, у нас с этим большие проблемы в любых сферах деятельности. Да и вообще в мире. Как минимум авторским правом в интернете надо заняться до введения интернет-паспортов. А то мы будет получать баны или прочее за записанную нами аудиодорожку с пением птиц.
Вы вообще о чем? Как взломав ваш игровой аккаунт я посягну на ваши ПД? Вы сначала разберитесь в вопросе, а потом пишите. Ну или спросите у тех, кто разбирается.
Я говорил в случае введения интернет-паспортов. Наказание за взлом такого аккаунта с персональными данными должно быть значительнее, нежели просто взлом почты, что не является персональными данными.
Все верно
И да, я просто вижу толпы возмущенных игроков, у которых «мэил украл паспортные данные».
И может я не права, тогда поправьте меня, но аа игра для 12+ аудитории, в которой не у всех есть паспорта еще.
Нет. Не абсурд. Подобная система есть в Корее и частично в Китае. Правда они исходит из законодательства, где все имеют «интернет-паспорта».
Ну с этого и надо начинать, что из-за государства это становится грубо говоря невыполнимым. Если же государство обяжет всех сделать интернет-паспорта и по ним проводить оказания услуг, то, дабы не нарушать законодательство, Mail.Ru и сделает сервис по идентификации по интернет-паспорту.
Ну это понятно, но это тема отдельного разговора и не только в РУ регионе, но и вообще в мире. Везде есть большие проблемы с вводом таких паспортов.
Я имел в виду, если такое сделают, то все компании обязаны будут соблюдать этот закон с интернет-паспортами.
Если посмотреть уровень жизни в Корее и у нас в Рашке, то да, считаю, что этого хорошо и нормально.
Республика Корея, естественно. И там не паспорт, а КССН.
Ну с этим все связано. По КССН в Корее оплачиваются многие услуги из дома, заказы осуществляются, выплаты пенсий, оплата транспорта и прочее.
Это уже проблема в целом. Интернет вообще задумывался как свободный.
Я буду говорить «мы» подразумевая все сообщество игроков в целом, к которому Я себя, без сомнений отношу. И прошу на этом тезисе заострить Ваше внимание.
Наша игровая культура находится ближе к уровню варварства. Мы есть нОгибаторы. Это видно невооруженным глазом. Это же и подтверждает то, что здесь, на ММОзговеде, сейчас обсуждаются такие вопросы как, например, то, что не стоит срезать углы, так как весь интерес именно в процессе, и определенной трудности достижения целей иначе цель не имеет ценности. Казалось бы очевидный факт, однако, тот факт, что подобное отношение не является де-факто уже говорит о том, что по большей части нам хочется именно нОгибать, а не играть в игру. А в этом и кроется корень всех наших бед. Кто виноват и что с этим делать это вопрос отдельной дискуссии. Задумайтесь. Стали ли бы ГолдСеллеры так стараться в АА если бы не было серьезного спроса? Появились бы синие ослики и саженцы грозового акхиумного дерева в игровом магазина без желания достаточной массы игроков срезать углы?
Зачем Вы, уважаемые участники портала ищете скрытый смысл в словах Сергея Теймуразова? Люди строят схемы, и не всегда безуспешные, по обману страховых компаний. А в таком деле легко попасть под суд. И неужели, уважаемые пострадавшие, на полном серьезе думают, что если начнут возвращать все нажитое после слома аккаунта, никто не будет этим пользоваться? Никто, при условии что за это кроме бана левого акка ничего не будет? И, конечно, это не будет носить массовый характер? А теперь еще вспомним про ГолдСеллеров которые, конечно же, не будут это использовать в промышленных маштабах? Стоит ли говорить что будет с экономикой игры, которая и так страдает от ботоферм? У Вас есть схема лучше озвученной Сергеем Теймуразовым, такая, что бы удовлетворив Ваши потребности не пострадали остальные, столь же не в чем не виноватые игроки? У меня лично нет. А так да, он решил нас повоспитывать. Впрочем если даже это было так, я только за.
Так что да, мы сами во всем виноваты.
К вопросу о взломах. Можно, конечно, винить mail.ru, но, как говорится, спасение утопающих — дело рук самих утопающих. Да, я приверженец взгляда, что если твой аккаунт взломали то виноват ты сам. За исключением случаев массовых взломов благодаря серьезной уязвимости системы. Но такого нет, иначе ниша игровая общественность уже бы кипела. Потому, при взломе нужно пересмотреть взгляды на свою политику собственной безопасности. Желательно с примесью паранойи.
P.S. Прошу простить, если задену кого, но не кажется ли смешным обвинять Сергея в Лицемерии, от того что он сотрудничает с гохой? просто это похоже на ситуация с дедсада:
— Сергей, я с тобой не дружу, потому, что ты дружишь с Гошей, который дружит Васей, с которым я не дружу.
Что касается дюпа, те 10%-15% скидки, что идут на аукционе, во-первых, компенсируются налогом с продажи (НПС не будут жаловаться, что у них отобрали золото :) ). Я не считаю, что взломщики будут ставить сверхнизкие цены на украденное, им конечно надо продать всё быстро, но очевидно, что тех 10-15% прекрасно хватает на то, чтоб это сделать. Во-вторых эта скидка должна компенсироваться баном ботоферм, которые отнимают у игроков ресурсы и «работу».
Ага, надо всего лишь ждать взлома. Или самому себя взломать. Только вот не надо сильно жалеть мейлру, это их работа раскрывать мошенничество, за неё вы платите реальные деньги.
В среднем чтобы скрафтить себе одну сережку 40 лвл нужно 64 хрусталя. У меня на сервере он стоит 12.5г и его не так много на ауке по этой цене. Это 800г и это без других материалов. Часть этих затрат может отбиться, а может и нет, на продаже сережек которые мне не нужны. Цена готовой серьги мудреца 30 лвл на аукционе начинается с 400г и их всего 2-3 шт там продается. То есть штука достаточно редкая, но полезная. Крафтят их мало, т.к. все упирается в горный хрусталь. При твоем варианте — их начнут дюпать устраивая «взломы». Доказать мошенничество которых будет практически не возможно. Я уже могу придумать как минимум 1 простую схему. Как ты думаешь навредит ли экономике и всей игре возможность дюпа например дельфийского боевого посоха оккультиста?
мейл.ру — это не полиция. Они могут расследовать только в игре по логам и т.д. По логам можно все сделать очень красиво. Как ты докажешь по логам игры, что я в скайпе договорился с «взломщиком» или даже сам зашёл на себя с другого айпишника и продал уникальную на данный момент вещь, которая потом путем перепродаж уйдет нужному человеку?
Ты прав, это их работа. Работа посчитать, что нанесет больший вред. У них для этого и статистика и опыт есть. И исходя из этого уже настроить работу тех. поддержки.
Любой дюп — зло. Это мое мнение. И я не считаю правильным 100% гарантию возврата вещей при взломе.
мое мнение, что эту проблему должны решить смс подтверждения на телефон при входе с незнакомого айпишника или компьютера.
Наверняка для уникальных случаев нужны уникальные расследования.А это вообще маст хэв, что, кстати, даёт ещё один козырь для раскрытия абузов.
А что мешает им не иметь банков и деньгохранилищ? Ты исходишь из того, что они натырили кучу, а потом держат ее в двух-трех местах. Что мешает организовать дело так, чтобы со взломов и прочего поступало денег столько сколько нужно в обороте в данный момент времени. Деньги пришли — деньги ушли. Постоянный оборот, при котором нету персонажей, на которых будет большая сумма. И это я описал просто набросок, что первое в голову пришло. Таких схем и нюансов целая куча.
Оно уходит сразу на продажу ГСами и сбываются до того, как цепочка распутывается. На персонажах в таком случае деньги не копятся, так как они поступают примерно в том объеме, которое нужно для скорейшего от них избавления. А дальше цепочка удлиняется в тех, кто покупает золото за реал и становится неконтролируемой. На каких конкретных примерах объяснять я не знаю, если честно.
А это уже следующий шаг, который подводит нас к тому, что доказать, что ты не покупал золото можно только одним способом. Человек, которому пришло золото, заблаговременно сообщил об этом в ТП и объяснил что он его не покупал и это вообще не его. То есть, если взломщикам объявить войну и банить все подряд, что получает краденое золото, то те в свою очередь начнут слать золото всем подряд, подставляя их под удар. У меня, как и у тебя, нету точных цифр, но я исхожу из того, что никакая компания, имеющая игру с живой экономикой, не возвращает всем все вещи, что означает, скорее всего, что скорость распространения денег по честным игрокам гораздо выше скорости всех имеющихся методов борьбы с этим. То есть, другими словами, количество забаненного золота несоизмеримо с количеством взломанного. Если у тебя есть примеры игр, за исключением парковых, в которых возвращают все, то я посмотрю на это под другим углом. Хотя в любом случае мы пока только гадаем.
Я так не считаю, понимаешь? Мне будет не комфортно в игре, в которую я пришел ради многогранной и живой экономики, если она не будет работать. Я не понимаю где ты нашел в моих словах пренебрежение собственной безопасностью. Я считаю, что чтобы жаловаться нужно сначала понять суть своей жалобы и действенна ли она. Я по прежнему считаю, что mail.ru недостаточно уделяет внимание безопасности. Я по прежнему считаю, что возвращать вещи должны всем без исключения в тех объемах, которые возможны. И это должно быть официальной позицией компании. Это те точки давления, которые я пока вижу. Но возврат всех вещей, с учетом всего сказанного в этом треде, я нахожу пока не рабочим.
Я понимаю это, я сам вижу недостатки. Не бывает идеальных систем. Только знаешь, лучше они будут возвращать либо всё либо ничего без исключений, только тогда можно быть убеждённым в непредвзятости локализатора. Уж слишком много вопросов возникает на почве частичного возврата, для этого пришлось взять интервью, в ходе которого выяснилось отношение локализатора к своим клиентам.
В данном случае, когда одно не работает с другим, я готов пожертвовать частью своего комфорта. Возможно, в этом краеугольный камень нашего недопонимания.
Нужна понятная и непредвзятая схема возврата. Это уже следующий разговор на стадии, когда люди готовы разрабатывать или выслушать такую схему, а не останавливаться на «или, или».
Ты помнишь, что большинство взломов аккаунтов происходят при помощи брута? То есть люди сами ставят слабые пароли и светят свои адреса.
С этим доводом я, к слову, не согласен. Меньше акк-шаринга? Нууу… возможно. Но большее внимание безопасности? Не верю.
Очень интересно узнать как у меня тогда ломали уникальные 14 значные сложные пароли, которые я вводил только на оф сайте игры и в лаунчере? Проблема ведь в том, что в число жалующихся попадают те, кто всё сделал для обеспечения своей безопасности, но всё равно остался у корыта, а те, кто не делал этого помалкивают, понимая, что сами дураки.
Так я написал не 100% взломов, а большинство. И это действительно так. Я не знаю, как смогли узнать твой 14 значный пароль и почту. Могу предположить, что через вирусы и прочую хрень.
Я ведь уже объяснил. Так или иначе ценности в игре благодаря обмену остаются, просто в разных формах. Выйти из игры они могут тремя способами:
1) налоги и прочие выплаты НПС. Они жаловаться ни на что не станут.
2) баном. Ценности хранятся на персонажах в той или иной форме. Бан злоумышленников изымает ценности из игры.
3) «обменом» на реал. Очевидно, что такие сделки должны не только пресекаться, но и наказываться баном. То есть в итоге тоже изыматься из игры.
Это значит, что так или иначе, ценности, примерно эквивалентные стоимости восстановленных предметов из игры изымаются, с условием, что локализатор работает исправно.
Тут я тебе хотел напомнить, что мы изначально знали, что большинство людей чуждо чувство собственной безопасности, иначе бы они лучше подходили к этому вопросу. Так что твое заявление странно для меня звучит.
Я тебя не пойму. Причем тут налоги и прочие выплаты НПС? Деньги при этом исчезают не у НПС, а у игроков. И это общая система вывода денег. Она именно для этого и существует, а не для борьбы с таким типом мошенничества. Я не вижу как это можно сюда притянуть.
Путем покупок и перепродаж по заниженной/завышенной цене я смогу в итоге снять сливки и вывести их на чаров которых не забанят. Причем понижать и завышать цены я могу как угодно. Нельзя же будет доказать, что через аукцион купил именно подельник, а не простой игрок. Забанить его? Тогда начнут этим пользоваться. «Взламывать» себя и продавать вещи на ауке по заниженным ценам. Просто ради веселья. Читая на форуме очередной пост — меня забанили на неделю ни за что.
Такие вещи тоже надо как-то доказывать. что проблематично. Деньги пересылаются между персонажами очень часто и много. Твинки, товарищи, кланы и т.д. Отследить такое очень сложно.
Это значит, что в игре появляется дюп вещей и деньги из пустоты. Денег появляется столько насколько хитрую схему смогут придумать мошенники.
И давай так, опиши мне схему в виде руководства к действию как мне полностью замести следы своего собственного взлома. Тогда и будем говорить.
А цена этому лояльность взломанных. Иногда, по правде, хочется чтоб человек на себе испытал все негативные последствия случая, хоть и желать зла другому неэтично.
Иногда люди хотят сделать хорошие вещи, даже несмотря на то, что это приведет к более разрушительным результатам, чем альтернативы. Благими намерениями…
Понимаешь, весь товарно-денежный поток можно представить направленным графом для решения которых давно придуман большой математический аппарат, и всё это достаточно просто алгоритмизируется. Плюс должна собираться и накладываться статистика (типа пилы Чурова), на основании которой можно подозревать в мошенничестве. Да, блин, это сложно, но если локализатор заявляет, что он борется с ГСами, то такие методы должны входить в его арсенал.
При том даже деньги с продажи подельникам можно переслать на однодневку и сбыть, если действовать быстро. Тут нюансов реально очень много и если честно мне не хочется дальше обсуждать тут эту заразу, а то уж глубоковато мы начали забираться.
В итоге в игре 2 очень редких посоха, а ресурсов на создание потратили только на 1. И 2к голды у злоумышленников.
При 100% гарантии возврата таких дел будет очень много. Об этом мы прочитали в статье.
Что хуже уход части игроков из-за взломов или то, что я описал выше — решать не нам, а маил.ру. У них для этого информации больше.
з.ы.: смс аутентификация с возвратом персональных вещей и того, что можно вернуть.
Б) Ресурсы оцениваются в количестве золота. Золото в операции обмена участвует.
В) И это золото уходит из игры с баном его носителя.
Так что изниоткуда берутся только 10-20% стоимости с аукционного сбыта, часть из которых покрывается аукционным налогом, часть — плата за безопасность пользователей.
А если к моменту бана золото уже разойдется среди честных игроков? Не все же сразу узнают о том, что его персонажа взломали. И не все сразу пишут в тех поддержку. К этому моменту золото может быть уже распределено между случайными игроками. их тоже в бан?
как эти 10-20% покрываются налогом? И это не так мало, как тебе кажется. Учитывая возможные масштабы.
А если будут продавать по 50% стоимости? Что тогда?
Ты хочешь безопасности, за счет того, что игра будет портиться дюпами и появлением «виртуальных» денег. При этом общая безопасность аккаунтов будет снижаться. А люди всё равно будут не довольны, т.к. пока разберутся, пока вещи вернут — все равно пройдет время.
Я же хочу, чтобы простыми методами типа смс аутентификации (или как в ГВ2) свести возможность взлома к минимуму для тех кто заботится о своей безопасности.
А откуда блин они получат это золото? В подарок от добрых ГСов? Очевидно, что они продадут что-то.
А если бы у бабки были яйца… А это будет стоить усложнённого взлома? Я хочу ответственности локализатора за своих клиентов.
Как будто я против смс аутентификации? Чем лучше больше предотвращённых взломов, тем лучше.
И это что-то могут купить по завышенной цене.
Ты был согласен обсуждать гипотетические 10-20, но не согласен обсуждать гипотетические 50%? Потому, что они не подходят к твоему утверждению, что 10-20% это копейки? О каком усложнении взлома мы говорим? При 100% гарантии возврата вещей количество взломом увеличивается. Так?
Я тоже хочу. А это подразумевает, что они должны просчитывать варианты и выбирать наилучший на их усмотрение?
Просто при 100% гарантии взломы все равно будут и мошенничество с ними. Меньше конечно, но будут. Люди сами будут шарить свои акки и говорить друзьям-сокнланам коды их смсок. 100% гарантия возврата же. Чего мне парится.
смс аутентификации — уменьшает количество взломов.
100% гарантия возврата вещей — увеличивает количество взломов, т.к. люди меньше заботятся о своей безопасности, дает возможность заниматься мошенничеством и делать дюп вещей. Также отчасти сводит на нет смысл смс аутентификации, т.к. никто не будет бояться дать свой аккаунт кому-нибудь и раскрыть ему смс код.
Хорошая система безопасности подразумевает под собой также профилактику — объяснять пользователям почему даже с другом нельзя делиться паролем. Также неплохим антистимулом акк-шаринга может быть создание «геммороя» при смене айпи подсети, типа смените пароль тут, потом там, потом ещё здесь, а ещё потанцуйте на левой ноге… думаю смысл понятен. Желающих это делать поубавится.
В целом согласен. Но ты сейчас и говоришь собственно об смс аутентификации практически. Просто если не будет галочки «доверенный компьютер» (при чем на нескольких возможных) — это будет геморрой для всех кто играет на работе/дома/с ноута у друзей и т.д. То есть для защиты безалаберных игроков которые легко отдают свой аккаунты мы накажем гораздо большую часть игроков тем, что им постоянно что-то нужно будет где-то подтверждать. Я помню как раздражался в ГВ2 каждый раз когда меня заново просили подтверждения.
Большинство взломов происходит из-за того, что простые пароли и одна почта для всего и везде. Но среди тех кого взламывают есть те, кто сами отдают логин и пароль от своего персонажа (очень часто это безалаберные игроки).
Людей чьи аккаунты взломали меньше чем тех у кого аккаунты не взломали.
Я где-то ошибаюсь?
Если при этом аккаунт все таки обокрали, то начинается стандартная процедура возвращения вещей (персональные вещи и те, которые ещё можно вернуть) и блокировки нарушителей.
Это позволит свести к минимум взломы персонажей и не позволит заниматься мошенничеством.
Если появятся способы избежать негативных моментов 100% гарантий возврата, то я конечно буду за такие способы.
В общем абсолютно тоже самое, что и двухэтапная аутентификация в гугле.
Ну, я вот за пределами РФ. Вероятность, что СМС не дойдет, не так уж мала…
Ну, вот, к примеру, мысль о том, что спрос рождает предложение и поэтому разработчик как бы и не виноват. Категорически не согласен, потому что нет какого-то абстрактного игрока, есть разные люди с субъективными предпочтениями. Среди них обязательно найдутся те, кто захочет получить преимущество в игре, вливая деньги. А есть те, кому это принципиально противно. И все, что нужно сделать разработчику, выбрать тех, кто является его фокус-группой. Нельзя понравиться всем. Это ж, вроде, банальность.
До определенной степени я в этой среде имею свободу действий и свободу выбора. К примеру, тот же премиум аккаунт меня лично вполне устраивает и больше я ничего не покупаю принципиально, чувствуя себя в игре вполне комфортно и интересно. Но я не могу сказать того же о своих друзьях, к примеру. Они воспринимают это резче. В общем, все индивидуально. Но это ни в коем случае не снимает ответственности с владельца сервиса, который выбирает спектр игроков, на которых ориентируется в своих официальных предложениях.
Теперь о доводах Сергея. Собственно, так как я и вел беседу с ним, мне кажется, я имею право поделиться тем, как воспринимал этот разговор я. Меня никто не учил. Мне рассказали о внутренней кухне. Это было интересно и познавательно. Я лучше стал понимать другую сторону и те проблемы, с которыми они сталкиваются. Мало того, последствия этих проблем в виде дублирования вещей становятся моими проблемами, если дублирование все же будет происходить. Идея о том, чтобы отлавливать золото, а не вещи, относится к тем же сложностям, насколько я понимаю. Я объяснял, почему (более-менее сложная сделка с заниженными ценами на первом этипе и привнесением в схему невинных, легко дискредитирует подобный отлов), но я могу ошибаться. И вообще считаю, что это должны комментировать представители компании, а не я.
Но суть того, что я хотел сказать — меня не учат, со мной поделились своей кухней. Я услышал, я отношусь к этим проблемам с пониманием. Ну, вот так вот — просто с пониманием. Не считаю себя виноватым, считаю, что в интересах владельца сервиса делать меня максимально довольным. Понимаю, впрочем, что не все и не всегда могут удовлетворить мои желания. Хотя бы по той причине, что я и сам не всегда могу удовлетворить свои желания, сталкиваясь с реальностью. :)
Подождите с этими спорами до появления заметки. Уверена, всем нам будет, что обсудить.
Но при всем при этом, с позиции простого игрока, я не могу не то что принять, но даже хотя бы представить, как вообще тогда можно играть в подобную игру, зная, что ты абсолютно беззащитен перед лицом беды? Ведь система не совершенна, шанс взлома есть всегда, меры защиты лишь могут снизить его до условно приемлемых величин. И когда взлом все-таки произойдет, ты НИЧЕГО не сможешь ему противопоставить. Вся виртуальная жизнь превращается в рулетку, когда в любой момент все твои достижения могут испариться, оставив тебя голышом.
Более того, если нет возмещения, нет отката проведенных операций с предметами и совершенных сделок, то поясните пожалуйста, как тогда расследование случаев взлома вообще может являться борьбой с мошенниками? чем бан бесплатно созданного полчаса назад аккаунта с первоуровневым персонажем мешает злоумышленникам создать на его месте другой, десять, сотню?