Главная
>
Смешные картинки
>
гик
гик
Прикольные гаджеты. Научный, инженерный и айтишный юмор Подписчиков: 5105 Сообщений: 17051 Рейтинг постов: 191,401.9geek geek новости Valve Steam Игры
Смотрим на высыхание краски: Как я залил игру в Steam Store безо всякого одобрения со стороны Valve
Планировал ли я попасться? Конечно!
Если вы посещали домашнюю страницу Steam в воскресенье вечером, вы могли заметить новую игру: «Смотрим на высыхание краски». Это событие послужило причиной оживлённых дискуссий на форуме, где пользователи обсуждали потерю компанией Valve контроля качества в сервисе Steam Greenlight. Однако эта игра никогда не попадала в Greenlight. Я даже не платил $100, чтобы публиковать там игры.
Мне кажется, что Greenlight – хорошая платформа для независимых разработчиков, рекламирующих свои игры, и хочу извиниться перед всеми разработчиками, кого я мог оскорбить. Это был всего лишь розыгрыш, а также проверка моей теории, которую я пытался донести до Valve в течение нескольких месяцев – возможность разместить в Steam любую игру так, чтобы Valve даже не увидела её. Все уязвимости уже исправлены, и данное руководство имеет лишь историческую ценность. К слову, игра не имеет отношения к протесту по поводу цензуры в кино.
Получаем учётную запись Steamworks
Моё небольшое расследование всей этой истории началось с получения доступа к Steamworks. Не буду рассказывать как и почему у меня появился доступ, но я не использовал никакие уязвимости ни форумов, ни Greenlight, и не общался ни с кем из Valve. Раскрывать эти детали я не буду, и не просите.
В общем, получил я доступ к Steamworks (внутренней платформе Valve для размещения игр в Steam, редактирования ачивок, DRM, мультиплеера и т.п.), и после этого мне пришла идея поискать уязвимости. Приближалось 1 апреля и я решил использовать эту возможность, чтобы опубликовать безымянное приложение и привлечь внимание Valve к проблеме.
Опущу описание создания 45-секундного симулятора высыхания краски в RPG Maker, поскольку тут и гордиться нечем, да и неважно это.
Получаем одобрение Steam Trading Cards
Естественно, что это была бы за игра без карточек Steam? Я понаделал в фотошопе карточек для шуточного набора. Но разве Valve не должна просматривать карточки, эмотиконы и фоны перед выпуском?
На странице у статуса есть несколько первоначальных вариантов:
А что там в исходниках?
Интересно, что отслеживается как сессия, так и ID учётной записи редактора. Попробуем поменять ID на какой-нибудь такой, который может принадлежать сотруднику Valve (допустим, на 1), изменим значение селекта на несуществующее и посмотрим, не получим ли мы в ответ другую форму.
Занятно – подменный «последний редактор» действительно оказался сотрудником. А если мы снова сохраним эту форму со значением «Released»?
Что же произошло? Когда я отправил неправильный запрос, сервер вернул мне полный список вариантов с их значениями. Я увидел, что у Released значение равно 5. Тогда я обновил форму, чтобы вернуть свой editor_accountid, и поменял значение селекта на 5. И сервер принял команду, будто она исходит от разработчика, карточки которого уже одобрили. Сервер не проверил – одобрены ли уже карточки кем-то из Valve, и просто поменял их статус.
Процесс одобрения в Valve
У компании есть трёхэтапный процесс размещения чего-либо в Steam. Во-первых, вы отправляете свою страницу магазина на осмотр, затем – финальный билд игры, а затем вам предоставляют возможность её зарелизить.
Релиз игры
Сайт Steamworks в основном использует AJAX. JS-код не обфусцирован и виден всем (кто авторизован в Steamworks). Я нашёл интересную функцию “ReleaseGame(appid, data)”. Судя по всему, она делала типичный AJAX-запрос и делала релиз игры.
Вызов функции ReleaseGame с параметрами 445730 (мой appid) и пустыми данными выдал мне статус 403. Просмотрев другие функции, я увидел, что почти все они добавляют значение в JSON-запрос под названием sessionid – этот id мы видели раньше, когда релизили наши карточки.
Итого, вызываем ReleaseGame(445730, { ‘sessionid’: ‘my_session_id’):
Идём в магазин Steam
Иехууу! Признаюсь, я вообще-то хотел, чтобы игра появилась в разделе «выходит 1 апреля», и не показывалась на сайте до пятницы – а она появилась сразу в разделе новинок. И конечно я хотел узнать, как далеко по пути релиза игры можно зайти – но решил, что лучше ей не появляться в списке игр, доступных для покупки.
Я связался с Valve, которые уже исправили эту уязвимость.
Из всего этого я вынес, что при работе с пользовательским контентом не нужно делать два разных статуса «готова к обзору» и «одобрена». Вместо этого можно выдавать некий тикет, обозначающий, что игра на одобрении, и не менять статус на «одобрена», пока существует тикет. Или просто не разрешать пользователям менять статус на «одобрена».
¯\_(ツ)_/¯
Источник: https://habrahabr.ru/post/280644/
YouTube music creative need help geek Anime Anime music relaxing music relax Anime Unsorted otaku
Работяги! От вас требуеться выключить свет, одеть наушники, включить видео на весь экран и наслаждаться спокойной музыкой.
geek музыка сделал сам кавер своими руками песочница
"Призрак Оперы" на матричном принтере
geek geek новости Windows Linux Ubuntu
Ubuntu интегрировали в Windows 10
На конференции Build компания Microsoft расскажет о последних нововведениях, которые сделаны в новом билде Windows 10 Redstone. Незадолго до презентации стало известно, что на конференцию приглашены сотрудники Canonical, и этому есть веская причина.
Дело в том, что Microsoft совместно с Canonical сумели интегрировать операционную систему Ubuntu внутрь Windows 10 (что-то вроде эмулятора).Channel 9 Panel в 16:30 PDT (5:30 утра по московскому времени).
В своём блоге Дастин выложил несколько спойлеров.
В своём блоге Дастин выложил несколько спойлеров.
«Это немного странно для меня, — пишет Дастин, — потому что я не использовал Windows уже около 16 лет. Но всё изменилось пару месяцев назад, когда погрузился в сверхсекретный (и абсолютно невероятный) проект между Microsoft и Canonical, который анонсировал сегодня во вступительной речи Кевин Галло».
Итак, в новом билде Windows 10 пространство пользователя Ubuntu и оболочка bash работают нативно в консоли cmd.exe!
Итак, в новом билде Windows 10 пространство пользователя Ubuntu и оболочка bash работают нативно в консоли cmd.exe!
Работает это следующим образом.
Пользователь Windows 10Открывает меню «Пуск»Набирает там "bash" [enter]После чего открывается консоль cmd.exeС запущенным /bin/bash от UbuntuС полным доступом ко всему пространству пользователя UbuntuДа, там есть apt, ssh, rsync, find, grep, awk, sed, sort, xargs, md5sum, gpg, curl, wget, apache, mysql, python, perl, ruby, php, gcc, tar, vim, emacs, diff,patch...И большинство из десятков тысяч бинарных пакетов в архивах Ubuntu!
Дастин Кирклэнд говорит, что это не виртуальная машина, никаких контейнеров и не Cygwin, а нечто похожее на эмулятор, где системные вызовы Linux в реальном времени транслируются в системные вызовы Windows. Сейчас в Windows 10 используется Ubuntu 14.04 LTS.
Microsoft называет это "Windows Subsystem for Linux" (исходный код пока закрыт).
Трансляция вызовов очень эффективная: утилита sysbench показывает почти одинаковую производительность CPU, памяти и операций ввода/вывода.
Все логические диски, вроде C:, монтируются для чтения и записи в директории /mnt, то есть /mnt/c, /mnt/d и т.д. И наоборот, файловая система Ubuntu доступна через «Проводник» в C:\Users\Kirkland\AppData\Local\Lxss\rootfs\.
Пользователь Windows 10Открывает меню «Пуск»Набирает там "bash" [enter]После чего открывается консоль cmd.exeС запущенным /bin/bash от UbuntuС полным доступом ко всему пространству пользователя UbuntuДа, там есть apt, ssh, rsync, find, grep, awk, sed, sort, xargs, md5sum, gpg, curl, wget, apache, mysql, python, perl, ruby, php, gcc, tar, vim, emacs, diff,patch...И большинство из десятков тысяч бинарных пакетов в архивах Ubuntu!
Дастин Кирклэнд говорит, что это не виртуальная машина, никаких контейнеров и не Cygwin, а нечто похожее на эмулятор, где системные вызовы Linux в реальном времени транслируются в системные вызовы Windows. Сейчас в Windows 10 используется Ubuntu 14.04 LTS.
Microsoft называет это "Windows Subsystem for Linux" (исходный код пока закрыт).
Трансляция вызовов очень эффективная: утилита sysbench показывает почти одинаковую производительность CPU, памяти и операций ввода/вывода.
Все логические диски, вроде C:, монтируются для чтения и записи в директории /mnt, то есть /mnt/c, /mnt/d и т.д. И наоборот, файловая система Ubuntu доступна через «Проводник» в C:\Users\Kirkland\AppData\Local\Lxss\rootfs\.
Из «подсистемы Linux» нормально запускается ssh.
Конечно, пока есть некоторые глюки, особенно с tty и vt100. Не очень хорошо работают byobu, screen и tmux. Но всё равно Microsoft и Canonical проделали огромную работу, что такое вообще стало возможным.
Источник: https://habrahabr.ru/post/280560/
geek geek новости хакер принтеры
Хакер заставил тысячи принтеров печатать расистские листовки
Американский хакер Эндрю Ауэрнхаймер, известный под никнеймом weev, взломал более 20 тысяч принтеров и заставил их печатать флаеры расистского характера. Об этом сообщает портал Motherboard.По словам Ауэрнхаймера, он написал скрипт, который может просканировать интернет-пространство и найти принтеры, у которых имеется свободный доступ к порту 9100. Этот порт обычно используется сетевыми принтерами для подключения к интернету. Затем этот скрипт отправил команду печати расистские листовки на все принтеры, к которым ему удалось получить доступ — их получилось более 20 тысяч.
После этого инцидента при помощи поискового сервиса Shodan удалось выяснить, что около 14 тысяч принтеров в колледжах и университетах США полностью доступны для хакеров.
Подобные инциденты — взлом «интернета вещей» — происходят уже не впервые. Например, в Нью-Йорке неизвестный злоумышленник наблюдал через детский видеомонитор («видеоняню») за чужим трехлетним ребенком и разговаривал с ним по ночам.
Источник: https://nplus1.ru/news/2016/03/29/Internet-Connected-Printers-Spit-Out-Racist-Flyers