#Közlemények
#EVESSO
Sziasztok!

Lecseréltem, illetve újraírtam az EVE SSO autentikációt, mert az előző, HWI csomag nem tudott már bejelentkezett felhasználókat összekötni a karakterükkel. Most az EveLabs-tól használunk egy vékony OAuth klienst a karakter azonosító kinyerésére.


Mi az az SSO?
Az SSO a Single Sing-On rövidítése, amely igazából arról szól, hogy elég egyszer megadnod a bejelentkezési adataidat és utána a kapcsolódó szolgáltatásokat további azonosítás nélkül tudod használni. Ugyan az eve-online.hu nem része az eve-online.com szolgáltatásainak, de a CCP az EVE SSO-n keresztül lehetőséget biztosít más oldalaknak, hogy ezzel azonosítsanak játékosokat, miközben a felhasználónév és a jelszó ellenőrzése mindvégig az Ő oldalukon marad.

Ennek a hátterében OAuth2 van, annyi bökkenővel, hogy a specifikációval ellentétben csak egy útvonal áll rendelkezésre a mi oldalunkon -> ezért nem ment a már bejelentkezett felhasználók azonosítása olyan csomaggal, ami követte a specit.

Most mi változott?
A regisztrációnál kivettem az SSO-t, mert gyakran kapok hibaüzeneteket, hogy a CCP-nél az SSO le van halva. Mivel nem akarom, hogy a CCP-től függjön az oldal működése, így a "csak EVE SSO bejelentkezés" elképzelés ugrott.

* Regisztráljatok saját felhasználónévvel.
* Ha működik a CCP, bármikor át tudtok váltani másik karakterre a profil menü (jobb felső sarok), EVE SSO linkjén.
* Ha működik a CCP, a már felhasználói fiókkal összerendelt karakterrel be tudtok jelentkezni EVE SSO-val.

Csoki
#Közlemények
#Polariodoknak:CloudFlareBug
https://blog.cloudflare.com/incident-report-on-memory-leak-caused-by-cloudflare-parser-bug/



1. Az eve-online.hu szervere és a böngésződ között a CloudFlare-en keresztül megy minden adat, mert nem tárolunk bankkártya adatokat. Ha tárolnánk, akkor nem menne.
2. A https miatt minden elküldött üzenet titkosított, a böngésződ és a CloudFlare, illetve a CloudFlare és az eve-online.hu szervere között is.
3. Ugyan a titkosítás nem ment meg attól, hogy a CloudFlare kidumpolja a nagyvilág elé a beküldött adatokat, de ... wait for it ...



4. Egyrészt, az EVE SSO-val senki nem ír be jelszót a mi oldalunkon - márpedig, aki jól akar kinézni itt, IGB hiányában az azzal jelentkezik be.
5. Másrészt, a CloudFlare mindenkit értesített és az eve-online.hu nem volt érintett a bugban.
6. Harmadrészt, nem használjuk egyik szolgáltatást sem, ami a bug-ot okozó parser-t használná, sem a cache-t. Arra van egy külön útvonalunk static aldomainnel.


Mindennek ellenére javaslom minden felhasználónévvel és jelszóval bejelentkezőnek, hogy használjon EVE SSO-t és olyan biztonságban lesz a jelszava, mint amikor a játékba jelentkezik be, mivel az ilyenkor teljes mértékben a CCP oldalán marad és az eve-online.hu pedig csak a kiválasztott karakter nevét kapja meg.

CCP álláspontja szerint a HUN csatorna az egy privát csatorna, így a moderációja nem az üzemeltető, hanem a csatorna létrehozójának (Patikus) és az általa megbízott operátorok feladatai közé tartozik