Здравствуйте, ReSanity, Вы писали:

RS>Слышали, слышали Еще сырой

Ага, настолько сырой, что все современные веб-сервера его поддерживают.

RS>(не прошедший стандартизацию) протокол

Че, правда? http://tools.ietf.org/html/rfc6455. 2011 год.

RS> с сомнительной его поддержкой корпоративными прокси.

О да. Зато поддержка вашего самопального протокола совсем не сомнительна, ее просто нет.

RS>Вполне возможно, что мы добавим поддержку WebSocket в бета-версии нашей системы, если посчитаем это целесообразным. Это совершенно не проблема.

Судя по тому что вы до сих пор не в курсе вышедшего в 2011 году стандарта — сомневаюсь.

Здравствуйте, ReSanity, Вы писали:

RS>Здравствуйте, мыщъх, Вы писали:

М>>не веб-сервис? тогда это попадон-с. а если у юзера только http и больше ничего? кстати, чем вам веб не угодил? когда REST бороздит оперативные просторы...
RS>Увы, HTTP в его текущей версии не подходит для нашей системы,
нет, не так. это ваша система не подходит для интернета в его текущем состоянии. пытаюсь донести до вас простую мысль: очень часто интернет есть, но... только веб. мы говорим про домашних пользователей если что. как только вашей системой начнут пользоваться, на вас обрушатся гром и молнии.

RS>так как не отвечает необходимым для организации распределенных вычислений требованиям
во-первых, отвечает. во-вторых, для этого даже есть готовые библиотеки. в-третьих, я как раз участвовал в реализации системы распределенных вычислений через рест.

RS> (двунаправленность и истинная, а не поллинговая асинхронность).
для истинной двунаправленности и истинной асинхронности достаточно поднять на клиенте легковесный веб-сервер. в буст входит готовый склелет которого. небольшое шаманство позволяет "пробивать" открытия порта, когда клиент иницирует установку запроса, подключаясь к удаленному веб-серверу, а затем использует установленное соединение для своего сервера.


RS> Ни с REST-ом, ни без. Возможно, в будущем варианте HTTP (тот, который 2.0)
RS> наши требования к протоколу смогут быть удовлетворены и тогда мы смело добавим его поддержку.
вот как добавите, тогда ваша защита начнет работать не только на ваших компьютерах в лабораторных условиях.

Здравствуйте, Олег К., Вы писали:

ОК>Я выше уже сказал. Либо сделать либо перестать балаболить.
я бы взломал. вот только товарищам пришлось бы выплатить сильно больше 3k. у них там дыра на дыре и дырой погоняет. торговая марка не зарегистрирована в сша, зато домен зарегистрирован через американского регистратора, то есть отжать его без проблем. вот если бы чуваки зарегали домен напрямую и держали бы свои dns внутри свой лабы -- это была бы другая история...

а играть по навязанным правилам... тогда это должен быть crackme. головоломка, решение которой заведомо есть и его предстоит найти.

Здравствуйте, Олег К., Вы писали:

ОК>>>Пацаны (все засветившиеся в данной ветке на данный момент), это, конечно, хорошо что вы тут затеяли дискуссию как ТС неправ, но лично мне на данный момент все это выглядит как балабольство. Если вы такие крутые чуваки, то сделайте то, что хочет ТС. А пока что это треп.
R>>"На слабо" — это в другом месте. А тему пора закрыть, как это правильно сделали на другом форуме.
ОК>Ну говорю же — треп!
ТС было предложено "разобрать по косточкам" его защиту за сумму командой, гхм, специалистов. Всего лишь на порядок большую предложенной им. На что был получен ответ в стиле "да вы даже за $3000 ничего сделать не можете" Как раз подобный разговор и несерёзен.

Вообще, складывается чёткое ощущение, что автор — волк-одиночка. Хоть он и пишет везде "мы-мы-мы". Но судя по фактам (графомания в жж) и просто как взгляд со стороны...

ОК>>>З.Ы. ТС, сумма слишкам маленькая чтобы начинать что-либо пробовать.
R>>А все другие тут нищеброды и за мистические $3000 готовы костями лечь?
ОК>У тебя с логикой проблемы. Посыл тут был другой. Не "ложиться костями за 3000 долларов" а либо сделать то что просят либо перестать балаболить.
У серьёзных ребят , которые готовы что-то сделать, имеется более интересная и денежная работа

P.S.: К серьёзным ребятам не отношусь, просто напрягает ТС своей непогрешимостью.

Здравствуйте, Rhino, Вы писали:

R>ТС было предложено "разобрать по косточкам" его защиту за сумму командой, гхм, специалистов. Всего лишь на порядок большую предложенной им. На что был получен ответ в стиле "да вы даже за $3000 ничего сделать не можете" Как раз подобный разговор и несерёзен.

Если нам потребуется какая-то помощь в комплексном анализе всей нашей системы, мы сами найдем необходимых специалистов.
На текущий же момент был предложен исключительно конкурс на проверку возможности атаки лицензированного "Сапера" (и "Алисы"). Если за 3к$ "специалисты" отказываются это сделать — это их право.

R>Вообще, складывается чёткое ощущение, что автор — волк-одиночка. Хоть он и пишет везде "мы-мы-мы". Но судя по фактам (графомания в жж) и просто как взгляд со стороны...

Несколько лет назад, возможно, так и было. Теперь мы команда и я горжусь каждым ее участником.

R>У серьёзных ребят , которые готовы что-то сделать, имеется более интересная и денежная работа

Это очень хорошо. Никто же не против "серьезных ребят". У каждого свой способ выживания. Если эти ребята не согласны на предложенных условиях пытаться решить задачи конкурса, это их выбор.
Просто поражает, как легко "подопытный Сапер" смог так быстро стать игрой, за которую не готовы за 3к$ взяться "серьезные ребята".

R>P.S.: К серьёзным ребятам не отношусь, просто напрягает ТС своей непогрешимостью.

Как там, в одной небезызвестной книге? — "пусть тот, кто без греха, первым кинет в меня камень!"

Здравствуйте, мыщъх, Вы писали:

М>я бы взломал. вот только товарищам пришлось бы выплатить сильно больше 3k. у них там дыра на дыре и дырой погоняет. торговая марка не зарегистрирована в сша, зато домен зарегистрирован через американского регистратора, то есть отжать его без проблем. вот если бы чуваки зарегали домен напрямую и держали бы свои dns внутри свой лабы -- это была бы другая история...

Ага, на "другом форуме" практически 1 в 1 нам так и сказали.
Не хочу повторяться, но все же — как поможет угон домена или регистрация торговой марки в решении конкурсных задач? Это поможет сгенерировать серийные ключи или восстановить недостающий программный код?

М>а играть по навязанным правилам... тогда это должен быть crackme. головоломка, решение которой заведомо есть и его предстоит найти.

А по чьим правилам вообще происходят конкурсы и соревнования? Правила не "навязаны", а публично озвучены и расположены на публичном ресурсе. Если Вы не согласны с правилами — это Ваш выбор.
По-своей сути, конкурс действительно является "crackme", просто мы назвали его "stealme", так как кроме классических реверс-атак на доступные бинарные модули, в данном конкурсе можно попытаться использовать другие вектора атак, некоторые из которых уже были озвучены в этом треде форумчанами.

Решение задач 100% есть — это серийные ключи и исходные бинарные файлы, которые были использованы для лицензирования конкурсных задач.
Эти материалы будут опубликованы нами по завершению конкурса (все эти условия находятся на нашем сайте).

Здравствуйте, мыщъх, Вы писали:

М>нет, не так. это ваша система не подходит для интернета в его текущем состоянии. пытаюсь донести до вас простую мысль: очень часто интернет есть, но... только веб. мы говорим про домашних пользователей если что. как только вашей системой начнут пользоваться, на вас обрушатся гром и молнии.

Может быть вы поведаете нам неграмотным, как же такие домашние пользователи играют в сетевые игры? (имеется в виду не Flash-игры, а полноценные оффлайн-тайтлы с поддержкой сетевой игры).

Здравствуйте, bazis1, Вы писали:

KV>>Главное, чтобы манипулируя X, мы могли добивать параметр ф-ции хэширования произвольным значением. В случае XOR — это точо возможно, достаточно взять X большей длины, чем SECRET.
B>круто. а где про это можно почитать, не погружаясь в многостраничные публикации?

Многостраничная, но простым языком: https://blog.skullsecurity.org/2012/everything-you-need-to-know-about-hash-length-extension-attacks

Здравствуйте, ReSanity, Вы писали:

RS>Добрый денhttp://resanity.com ).
RS>И в связи с этим запустили конкурс (приз 3000$) для проверки ее надежности и взломоустойчивости.

Первая задача грубо говоря не решаема. Откуда я знаю может у вас там база в которой всего три ключа и с ними происходит сверка — не совпало досвидания. Поскольку условие получить два ключа а не решение то она тождественна задаче найти пароль к твиттеру медведа или абстрактному ящику на майл ру
Вторую можно решаема. То есть у вас строка превращается в индекс который потом используется для вывода текста с билибердой. Число ответов ограничено число запросов нет. Можно прогнать словарь и обучить нейронную сеть.
Можно конвертануть вашу программу в веб сервис на azure которая будет обслуживать моих клиентов и того мне хватит купить ровно одно приложение (или взять выложенный ключ) и потом раздавать его результаты все желающим. Я б сделал такое только ж приз все равно зажмете?