Identica 2.2.0

[Mioji]

Есть конкретные желания?

Я пару дней проверял плагин, в общем лично по-моему опыту, могу сказать, что страдает безопасность. Я читал документацию, увидел что ты написал о том, что безопасность серверов авторизации/лимбо накладываешь на пользователей. Это не совсем правильный подход при аутентификации по своей концепции, все текущие современные плагины во время аутентификации блокируют команды и взаимодействие со всем, кроме нужных команд. Это спасает от уязвимостей.

Из этого выходит, что чисто из-за человеческого фактора, сервера будут допускать ошибки по типу "забыл настроить LuckPerms, забыл настроить ядро и включить там пару функций, не учёл это...". А в случае если на серверах стоит LuckPerms на прокси, игрок может зайти в auth из-под админ аккаунта и выполнять команды админки БЕЗ авторизации. Это исправляется если добавлять контекст в LuckPerms и правильно настроить false права когда игрок находится на auth. В других плагинах столько костылей не нужно делать.

Репликация/мульти-прокси не работает. Если включить репликацию с Redis, я не могу зайти на сервер и зарегистрироваться по какой-то причине. Ошибок и логов нет. Просто не работают команды. Выключил = все гуд.

Возможно могут быть несовместимы со системой uuid в плагине, например с velocity bungee/velocity и другими десятками плагинами которые очень тесно с ними работают. Воспроизвести не смог, но у меня один раз случился дубликат uuid в базе данных luckperms из-за identica. То есть мой uuid на Нике поменялся через identica, а старый остался валятся в базе данных LuckPerms с админ правами.

 

[whereareiam]

Я пару дней проверял плагин, в общем лично по-моему опыту, могу сказать, что страдает безопасность. Я читал документацию, увидел что ты написал о том, что безопасность серверов авторизации/лимбо накладываешь на пользователей. Это не совсем правильный подход при аутентификации по своей концепции, все текущие современные плагины во время аутентификации блокируют команды и взаимодействие со всем, кроме нужных команд. Это спасает от уязвимостей.

Из этого выходит, что чисто из-за человеческого фактора, сервера будут допускать ошибки по типу "забыл настроить LuckPerms, забыл настроить ядро и включить там пару функций, не учёл это...". А в случае если на серверах стоит LuckPerms на прокси, игрок может зайти в auth из-под админ аккаунта и выполнять команды админки БЕЗ авторизации. Это исправляется если добавлять контекст в LuckPerms и правильно настроить false права когда игрок находится на auth. В других плагинах столько костылей не нужно делать.

Репликация/мульти-прокси не работает. Если включить репликацию с Redis, я не могу зайти на сервер и зарегистрироваться по какой-то причине. Ошибок и логов нет. Просто не работают команды. Выключил = все гуд.

Возможно могут быть несовместимы со системой uuid в плагине, например с velocity bungee/velocity и другими десятками плагинами которые очень тесно с ними работают. Воспроизвести не смог, но у меня один раз случился дубликат uuid в базе данных luckperms из-за identica. То есть мой uuid на Нике поменялся через identica, а старый остался валятся в базе данных LuckPerms с админ правами.

Конечно, я согласен, что в реальности перекладывать безопасность проекта на пользователя - не лучшая идея. Но сама Identica не нацелена на обычных пользователей, которые просто установят плагин и забудут о нём.

В моём представлении плагин для аутентификации не обязан каким-либо образом контролировать доступ к серверу. Я понимаю, что многим это не понравится, но здесь возможны два варианта: либо использовать CommandWhitelist или его альтернативы, либо отдельный аддон - например, пользователь уже сделал такой

Авторизуйтесь для просмотра ссылок.

для Identica.

По поводу репликации я посмотрю: возможно, я что-то сломал в одном из обновлений.

UUID работает корректно, если плагины на backend-серверах используют UUID, что нормальный плагин и обязан делать. Если пользователь уже сидел на другой авторизации и хочет перейти сюда, нужно использовать мигратор: он пропишет правильные UUID в таблицах, и подобных несостыковок не будет.

 

[Mioji]

В моём представлении плагин для аутентификации не обязан каким-либо образом контролировать доступ к серверу. Я понимаю, что многим это не понравится, но здесь возможны два варианта: либо использовать CommandWhitelist или его альтернативы, либо отдельный аддон - например, пользователь уже сделал такой

Авторизуйтесь для просмотра ссылок.

для Identica.

Ну собственно такой отдельный аддон и нужен, потому что как минимум обязывать использовать сторонние плагины, настройки и опции ядер ведёт к дополнительным возможным неудобствам и постоянным уязвимостям.

Мне плагин то понравился, но не понравилось ковыряться в настройках через других плагины, чтобы исправить банальные уязвимости и атаки на сервер. Commandwhitelist концептуально не запрещает команду, по этому нужно в самом ядре permissions.yml настроить на всякий, затем контекст в LuckPerms, поставить его на auth сервер, а уже потом каждому админу сервера настроить правильно права, потому что если их не настроить, человек заходит под ником админа/модера и банит всех, обходя даже Commandwhitelist. Это не очень user friendly. Я молчу уже про сложность/невозможность безопасно развернуть лимбо сервер.

Думаю если в будущем появится Self-Hosted бот для двухи discord/telegram, то все будут использовать этот плагин. К ним просто все привыкли, по крайней мере в EU сегменте точно.