※ 引述《zzadjin (----------------)》之铭言： : ※ 引述《SmallBeeWayn (喵喵叫的蜜蜂猫)》之铭言： : : ==================== : : 这次的事件，从技术角度来说 : : 是伺服器的Session控制出现问题 : : 从而导致会混乱的互相登入他人帐户 : : 与客户端操作无关 : : 不知道是哪一位，居然把我的厂拆掉还把钱都汇出了 : : 不过鸡的动作，其实我并不意外 : : 先是安插一个"利用游戏漏洞获取利益"罪名 : : TB我一天，再把我的财产清空 : : 嘛，反正证据在他们手上，也谅我没那能力打跨国官司 : : ==================== : 真的要从技术角度来说的话， : server 端的 session 控制出包，不会只有几个人出问题而已， : 或者只有 eROC 的人出状况，是整个游戏、所有玩家的帐号都会乱掉。 : 照你所说的"技术角度"，表示你跟那些出问题的人之间"必定"有使用过同一台电脑 : （session connection），而且 session 有 timeout 的限制，所以这更表示这些人不只 : 使用过同一台电脑，而且可能是短时间内交互使用， : 才有可能因为 session 没有失效而导致帐号权限混乱。 session control不光是只有与client端交换session ID而已 不论是产生还是与客户端交换session，问题很少出现在这个环节 麻烦的是後端的，尤其是UI与DB之间资料交换 涉及到多端同步，先入先出， 为了提升反应效能，必然使用大量的动态键结、优先排程与记忆体快取 在极高负载下，甚至发生PRIMARY INDEX Duplicate也是有可能的 因此，多名使用者的session，底层index互相混在一起绝对是可能发生的 而且，也不是没有徵兆，因为时间就在新的工作系统出来没多久 大家发现网站反应速度异常缓慢之後没多久 我想多半是某个底层程式效能过低导致系统过载引发索引重用之类的事情 再来，有几位人士发报提到此事吃了FP 如果只是单一个案我认为鸡的反应太过迅速 此外，今天换日的时候Plato就有公告说要维修30min "On Day 1536 of the New World, starting with 00.00 eRepublik time, the site will be unavailable for approximately 30 min. " 三十分钟能干嘛? 把资料库跑一次OPTIMIZE，清空快取足够了 这就跟之前某个我常去的论坛说甚麽被分散式搜寻攻击而暂时关闭一样 千万不要以为使用者都是傻子不懂伺服器，流量，网站管理这些 : 当 session 没有失效的时候，下一个使用者开启相同网页的时候， : 就可以用相同的帐号登入。 : 而实作上，程设人员会写成当视窗关闭时（lost connection），session 失效， : 来避免因使用者粗心而造成资料外泄的状况。 : 一个运行三、四年的 web game 基本上是不可能会有 session bug 的， : 所以真正的问题，我想，应该不是出在鸡身上。 : 你还是检查看看是哪个 userscript 里面藏了奇怪的 code 还是跟哪个亲友结仇了吧 XD : 或者是你本身做了什麽可疑的动作，比如说 hack XD : 如果是 userscript.org 上的 scripts，都是开源码的，要抓凶手很简单。 : 剩下的就只有你自己知道了。 首先，当我知道这件事情的时候，第一时间就是关掉所有script uscript我装的不多，也立刻进行程式码检查，确认都没有问题 我上eRepublik的浏览器是独立的，被下药的可能性不高 再者，登入我的帐户拿走我的东西的不是我，用的也不是我的电脑 甚至连密码也不是用我的 因为我就在乾净浏览模式下用自己的帐号密码登入，在几个页面之後ID换人 最後，我认为你没有必要用这种影射对方违规的口气来说话 如果你是想讨论技术问题而不是来幸灾乐祸的话 --

※ 发信站: 批踢踢实业坊(ptt.cc) ◆ From: 122.116.180.163