[轉錄] EROC國庫清空事件,當事人說明
Albert tseng
關係人最新回覆:
http://www.erepublik.com/en/article/-1-1963733/1/20
作者 SmallBeeWayn (喵喵叫的蜜蜂貓) 看板 CGI-Game
標題 [eREP] 災難一場
時間 Fri Feb 3 02:31:46 2012
───────────────────────────────────────
來算算本次的總損失吧....
一座Q2麵粉,一座Q4麵粉
一座Q2麵包
一座Q1武材,一座Q3武材
一座Q3武器
被打掉約50支火箭筒
約22000TWD(包含TTE黨產10902 TWD)
1438CNY,各國貨幣少量,以及5Gold現金
另外,來不及被搬走,匯到國庫的113G
也沒有被放過,連同其他6xxG一同消失了
剩下的,就是帳戶還活著,倉庫東西還在吧
====================
是伺服器的Session控制出現問題
從而導致會混亂的互相登入他人帳戶
與客戶端操作無關
不知道是哪一位,居然把我的廠拆掉還把錢都匯出了
不過雞的動作,其實我並不意外
先是安插一個"利用遊戲漏洞獲取利益"罪名
TB我一天,再把我的財產清空
嘛,反正證據在他們手上,也諒我沒那能力打跨國官司
====================
在這邊也提醒其他eREP玩家
雞在處理這類問題,其實跟RL China處理上訪民眾概念差不多
解決問題的方式,就是安一個罪名讓你一切成空
這次為何最後我會被TB,JrEtvAsk被PB?
(這次幾個互登的帳戶是我自己,JrEtvAsk跟某個我不知道的人)
如果不是JrEtvAsk好心幫我把Gold donate給國庫
以及從壞人手上把錢跟物資都donate回來
(Alert上在我被TB前一整排的匯入信息)
這次的損害範圍或許能少個100Gold(連同國庫800G)
也就是說,請不要嘗試自行解決問題
除非你是刷卡大戶,否則高調與積極的行動沒有好處
記住,惹到雞,罪名莫須有
====================
整體事件的順序是前幾天我上線
發現東西都被清光,JrEtvAsk來信通知我說Gold先丟國庫去了
沒過幾分鐘我的介面變成他的帳戶了,看來所言不假
發了Ticket,日子還是要過,雞只給了制式回應
然後過了一天,我就給TB掉了
TB回來發現剛剛所提的,JrEtvAsk把損失都donate回來了
然後錢的部分被雞歸零,還聽到國庫Gold也歸零
我窮得只剩下坦克跟麵包,不管是動產還是不動產都沒了
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 122.116.180.163
當事人如果要自行發報說明,請寫PM來
我會砍了這篇文章
在CGI版說明
我覺得沒有效益= ="
Comments
v6
V 😮P
其實我只是來Vote的!
嘖嘖,原來是蜜蜂貓
v
V 內文不是寫蜜蜂貓D的吧
V 😮P
無言…
雞在處理這類問題,其實跟RL China處理上訪民眾概念差不多。。。。。
之前央行錢被轉光的事件 有下文了嗎?
还好国库钱不多....
so sad
无头鸡must die.
V
央行依然沒有下文,雞根本裝死。
V...
真的要從技術角度來說的話,
server 端的 session 控制出包,不會只有幾個人出問題而已,
或者只有 eROC 的人出狀況,是整個遊戲、所有玩家的帳號都會亂掉。
照你所說的"技術角度",表示你跟那些出問題的人之間"必定"有使用過同一台電腦(session connection),而且 session 有 timeout 的限制,所以這更表示這些人不只使用過同一台電腦,而且可能是短時間內交互使用,才有可能因為 session 沒有失效而導致帳號權限混亂。
補充一下關於 session 的知識,timeout 的時間是由程式設計者決定的,
預設的時間是 20 分鐘,最長為 24 小時。
但是因為安全性的問題,所以通常 timeout 的時間不會太長。
就是避免同一台電腦的上一個使用者登入相同網頁後沒有確實登出,
當 session 沒有失效的時候,下一個使用者開啟相同網頁的時候,
就可以用相同的帳號登入。
而實作上,程設人員會寫成當視窗關閉時(lost connection)session 失效,來避免因使用者粗心而造成資料外洩的狀況。
一個運行三、四年的 web game 基本上是不可能會有 session bug 的,所以真正的問題,我想,應該不是出在雞身上。
你還是檢查看看是哪個 userscript 裡面藏了奇怪的 code 還是跟哪個親友結仇了吧。或者是你本身做了什麼可疑的動作,比如說 hack。如果是 userscript.org 上的 scripts,都是開源碼的,要抓兇手很簡單。
剩下的就只有你自己知道了。
PTTz的技術文值得學習與收藏~,上了一課。
雞在處理這類問題,其實跟RL China處理上訪民眾概念差不多
世事都給你看透🙂
不覺得能追得回來
如果說, 因為最近的改版導致server端的session有bug~ Fine~ 大家都能接受, it sounds reasonable~
如果說, 受害者集中在eROC是因為受害者龍年犯太歲~ Fine~ 大家都能接受, no reason is good reason~
但! 什麼證據都沒有就打高射砲直接對一隻沒有頭沒辦法講話的雞開槍... 也稍微有點不厚道吧...
雖然祂近日來胃口越來越大, 搶錢越來越兇... (無頭雞必須死, 但這包括栽贓死嗎?
我什麼都沒看到, 只看到國庫的G歸零...
那... 我的懷疑... 也算是reasonable吧... (茶~
wtf ?
0.0
既然都被轉文了,這是我之後的回文一併轉過來
session control不光是只有與client端交換session ID而已
不論是產生還是與客戶端交換session,問題很少出現在這個環節
麻煩的是後端的,尤其是UI與DB之間資料交換
涉及到多端同步,先入先出,
為了提升反應效能,必然使用大量的動態鍵結、優先排程與記憶體快取
在極高負載下,甚至發生PRIMARY INDEX Duplicate也是有可能的
因此,多名使用者的session,底層index互相混在一起絕對是可能發生的
而且,也不是沒有徵兆,因為時間就在新的工作系統出來沒多久
大家發現網站反應速度異常緩慢之後沒多久
我想多半是某個底層程式效能過低導致系統過載引發索引重用之類的事情
再來,有幾位人士發報提到此事吃了FP
如果只是單一個案我認為雞的反應太過迅速
此外,今天換日的時候Plato就有公告說要維修30min
"On Day 1536 of the New World, starting with 00.00 eRepublik time, the site
will be unavailable for approximately 30 min. "
三十分鐘能幹嘛? 把資料庫跑一次OPTIMIZE,清空快取足夠了
這就跟之前某個我常去的論壇說甚麼被分散式搜尋攻擊而暫時關閉一樣
千萬不要以為使用者都是傻子不懂伺服器,流量,網站管理這些
: 當 session 沒有失效的時候,下一個使用者開啟相同網頁的時候,
中略
: 剩下的就只有你自己知道了。
首先,當我知道這件事情的時候,第一時間就是關掉所有script
uscript我裝的不多,也立刻進行程式碼檢查,確認都沒有問題
我上eRepublik的瀏覽器是獨立的,被下藥的可能性不高
再者,登入我的帳戶拿走我的東西的不是我,用的也不是我的電腦
甚至連密碼也不是用我的
因為我就在乾淨瀏覽模式下用自己的帳號密碼登入,在幾個頁面之後ID換人
最後,我認為你沒有必要用這種影射對方違規的口氣來說話
如果你是想討論技術問題而不是來幸災樂禍的話
如果是不懂網路技術的使用者受害,
那麼, 從推文來看, "開小帳"的帽子大概是跑不掉了...
現在是, 越懂技術的人, 說的話才越是真理 ?
討論技術是應該值得鼓勵的,
可是如果討論技術的結果, 卻是對著別人開NE,
那麼. "討論技術"的行為, 就會淪為打嘴砲時用的工具而已.