Бесплатные игры/контент в Steam

[skulland]

Все получили ключи от Motte Island? Мне до сих пор не прислали, е-мейл же не обязательно такой же прописывать, как у стим аккаунта?

[mypucm]

skulland
мыло любое можно, мне вчера пришел

[Alex Freez]

Все получили ключи от Motte Island? Мне до сих пор не прислали, е-мейл же не обязательно такой же прописывать, как у стим аккаунта?

Мне пока тоже не прислали, для меня прошел пока 1 день. В любом случае пока не вижу повода для беспокойства: написано было что ключ придет в течении нескольких дней.

[skulland]

ясно, просто решил удостовериться

[Death_Gamer]

Все получили ключи от Motte Island? Мне до сих пор не прислали, е-мейл же не обязательно такой же прописывать, как у стим аккаунта?

отправлял на два мыла, пришло пока только на то, которое в стиме зарегено

[Def2]

Отправлял с мыла не стимовского, пока ничего не пришло.

[KOCMOTPAX]

Все получили ключи от Motte Island? Мне до сих пор не прислали, е-мейл же не обязательно такой же прописывать, как у стим аккаунта?

отправлял на два мыла, пришло пока только на то, которое в стиме зарегено

не, у меня на другую, здесь нет связи

[Sahu13rus]

Все получили ключи от Motte Island? Мне до сих пор не прислали, е-мейл же не обязательно такой же прописывать, как у стим аккаунта?

отправлял на два мыла, пришло пока только на то, которое в стиме зарегено

Тоже отправлял на два мыла, оба - не стимовские, на яндекс не пришло, а на гул - пришло.

[Fox Fau]

Для тех. кто голосовал за Paranormal State в Greenlight, в группе Paranormal Research Society опубликовано объявление, как получить ключ.

[mypucm]

Monk
конечно к бесплатным не имеет отношения

Скрытый текст

Уязвимость OpenSSL и Steam: возможна кража вещей!
Внимание! Есть угроза потери вещей из инвентаря без совершения каких-либо действий с вашей стороны вообще!

Ночью 9 апреля 2014 года по московскому времени была опубликована критическая уязвимость[habrahabr.ru] в библиотеке шифрования OpenSSL, которая использовалась в том числе в Steam, и которая получила название "Heartbleed" (CVE-2014-0160).

Valve закрыли эту уязвимость на серверах Steam вечером этого же дня (по московскому времени).

Однако в течение почти 20 часов любой мог использовать уязвимость для получения случайных данных авторизации через браузер в сообществе или магазине. Этих данных достаточно, чтобы войти под случайным аккаунтом, и Steam будет считать такой вход как вход со старого устройства, т.е. ограничение обмена на 7 дней на подобный вход не распространяется

Есть информация, что возможно некоторые злоумышленники уже используют полученные в то время данные для кражи вещей с аккаунтов, причем кража происходит без какого-либо подтверждения или информирования жертвы.

Учтите, что смена пароля не гарантирует защиту! (хотя сменить пароль от аккаунта и от почты желательно)

Единственным возможным методом защиты (который хоть и не гарантирует 100% решение проблемы, но в большинстве случаев делает невозможным вход под вашей учетной записью через потенциально полученные 9 апреля данные) на данный момент является сброс авторизации устройств в Steam Guard.

Помните, что сброс авторизации может (в зависимости от особенностей выдачи IP-адресов вашим интернет-провайдером) повлечь за собой блокировку обмена и торговой площадки на 7 дней. Однако на мой взгляд, потенциальная возможность кражи предметов является вполне весомым аргументом для смирения с этим фактом

Для сброса авторизации, запустите клиент Steam, нажмите в строке меню "Steam", там "Настройки", далее нажмите "Управление настройками Steam Guard", поставьте галочку "Сбросить авторизацию на остальных компьютерах" и нажмите "Далее".

После этого потребуется заново ввести код Steam Guard при входе в аккаунт с любого устройства или браузера, кроме того, на котором производили сброс.

[qwerty_rus]

Monk
конечно к бесплатным не имеет отношения

Скрытый текст

Уязвимость OpenSSL и Steam: возможна кража вещей!
Внимание! Есть угроза потери вещей из инвентаря без совершения каких-либо действий с вашей стороны вообще!

Ночью 9 апреля 2014 года по московскому времени была опубликована критическая уязвимость[habrahabr.ru] в библиотеке шифрования OpenSSL, которая использовалась в том числе в Steam, и которая получила название "Heartbleed" (CVE-2014-0160).

Valve закрыли эту уязвимость на серверах Steam вечером этого же дня (по московскому времени).

Однако в течение почти 20 часов любой мог использовать уязвимость для получения случайных данных авторизации через браузер в сообществе или магазине. Этих данных достаточно, чтобы войти под случайным аккаунтом, и Steam будет считать такой вход как вход со старого устройства, т.е. ограничение обмена на 7 дней на подобный вход не распространяется

Есть информация, что возможно некоторые злоумышленники уже используют полученные в то время данные для кражи вещей с аккаунтов, причем кража происходит без какого-либо подтверждения или информирования жертвы.

Учтите, что смена пароля не гарантирует защиту! (хотя сменить пароль от аккаунта и от почты желательно)

Единственным возможным методом защиты (который хоть и не гарантирует 100% решение проблемы, но в большинстве случаев делает невозможным вход под вашей учетной записью через потенциально полученные 9 апреля данные) на данный момент является сброс авторизации устройств в Steam Guard.

Помните, что сброс авторизации может (в зависимости от особенностей выдачи IP-адресов вашим интернет-провайдером) повлечь за собой блокировку обмена и торговой площадки на 7 дней. Однако на мой взгляд, потенциальная возможность кражи предметов является вполне весомым аргументом для смирения с этим фактом

Для сброса авторизации, запустите клиент Steam, нажмите в строке меню "Steam", там "Настройки", далее нажмите "Управление настройками Steam Guard", поставьте галочку "Сбросить авторизацию на остальных компьютерах" и нажмите "Далее".

После этого потребуется заново ввести код Steam Guard при входе в аккаунт с любого устройства или браузера, кроме того, на котором производили сброс.

KorDen32, 8 апреля 2014 в 23:22 (комментарий был изменён)#↵↑
Гонял тот-самый-скрипт-на-питоне. Экспериментировал на различных форумах с различными движками и на Steam (в Steam уже закрыли).

В 90% случаев в дампе был виден запрос пользователя и часть ответа сервера. В запросе соответственно было Cookies: со всеми вытекающими.

Словил так на одном форуме member_id=2, т.е. первый пользователь (1 обычно технический бот), головной админ. Подставил у себя в браузере — зашел под админом. Там еще password_hash был, т.е. можно по радужным таблицам подобрать пароль по идее (в админку полную же не зайти, там повтороно нужно авторизоваться каждый раз), т.к. вроде на том движке без соли хранится в куках…

В Steam у меня почти каждый запрос выдавал куку, хотя там вроде ограничение стоит на IP сессии (вроде сессия не возобновляется при заходе с другого региона (на базе GeoIP)). Хотя возможно плохо смотрел и что-то из кук пропустил при эксперименте.

Теоретически можно было поставить скажем каждые 5 секунд запрос и получить кучу кук, из которых часть бы была валидной — а в инвентарях пользователей много ценных внутриигровых предметов, которые можно обменять через сайт…

Так что если словить в запросах вход пользователя или админа, и если нет ограничений на IP сессии и т.д., то задача выкачивания секретных документов может быть вполне решаемой.

http://steamcommunity.com/discussions/f ... 282315846/

[Monk]

Все херня, хватит мутить воду. Ничего никому из нас не угрожает.

[Toff]

Rip777, выслать то выслали, активация прошла успешно, но нипаиграть. Стим выдаёт при запуске "Не удаётся соединиться с сервером цифровых ключей". Так то...

В объявлении WGN по Motte Island дописали, что следующая рассылка ключей произойдёт после исправления данной проблемы.

[f4nt1k]

Motte Island получил 2 дня назад, а когда начнут выдавать Zombies on a Plane?

[skulland]

f4nt1k
она еще не прошла гринлайт, как только- так сразу)