кросс сервер что это
Объяснение кроссплатформенной игры The Elder Scrolls Online
Быстрые ссылки
The Elder Scrolls Online — одна из самых популярных MMO на рынке. Доступно на ПК, Xbox One, PS4, а теперь и в улучшенной версии на PS5 и Xbox Series X, есть множество способов получить доступ к самой большой когда-либо созданной игре Elder Scrolls.
Возникает вопрос — ESO кроссплатформенный? Вот что вам нужно знать о Кросс-игра ESO перед погружением в Тамриэль.
Обновлено 1 декабря 2021 г. Квинтоном О’Коннором: По мере того, как рейтинг популярности MMO продолжает расти, важно, чтобы мы поддерживали актуальную точность в отношении статуса кроссплатформенной игры. С этой целью мы пересмотрели нашу статью и провели небольшую уборку там, где это было необходимо. Хотя ZeniMax Online Studios в последние дни не изменила свою кроссплатформенную политику, мы продолжим своевременно вносить ясность в нюансы этого вопроса, чтобы друзья, находящиеся поблизости и далеко, могли научиться вместе путешествовать по живописному Тамриэлю.
ESO не поддерживает кроссплатформенную игру, но имеет серверы кросс-поколения
Так, является ESO кроссплатформенный? Ну и да, и нет. Но в основном нет.
The Elder Scrolls Online не поддерживает кроссплатформенную игру. в традиционном понимании. Игроки ПК не смогут взаимодействовать с игроками PS4 или Xbox, а игроки Xbox никогда не увидят игроков ПК. Однако, когда в 2020 году было выпущено новое поколение консолей, все стало немного сложнее. Вот как это все работает:
Кросс сервер что это
Сегодня я бы хотел поговорить о «кросс-серверных» локациях, что это такое и с чем их «едят». Эта система показалась мне наиболее интересной, она упрощает поиск некоторых редких существ и выполнение заданий, а также позволяет избежать «ганка» или наоборот устроить его.
И если ее грамотно использовать может принести разнообразие в игровой процесс. Особенно данная статья будет полезна для новичков которые только-только осваивают мир «World of Warcraft».
Можно бесконечно спорить о плюсах и минусах «кросс-серверных» локаций, но факт остается фактом, они есть и в будущем нас ждет только развитие этой идеи. К примеру, к одним из плюсов можно отнести, визуальную населенность локации, а это не даст повода к сокращению игровых серверов, так как для комфортной игры все есть. К минусам можно отнести отсутствия смысла играть на PvE или PvP серверах, так как раньше выбор игрока падал на сервер прежде всего из-за возможности или отсутствия «ганка».
Начнем с истории как все началось и причин возникновения кросс-сервера. Впервые данную систему локационных «кросс-серверов» опробовали в Пандарии, так как ни для кого не секрет, что количество подписчиков медленно, но верно сокращается. Это визуально увеличило количество игроков в локациях, когда по факту количество игроков оставалось тем же или даже меньшим.
С тех Пандарийских пор данная система всячески развивалась и дорабатывалась, теперь «кросс-серверные» локации охватывают весь Азерот, хотя условия их работы везде разные. Но к этому моменту мы еще вернемся, а теперь хотелось бы забежать вперед и сообщить вам о новой функции «кросса» которую добавят уже в «Легионе», а именно нахождение одним персонажем в двух гильдиях одновременно.
Но не будем забегать в перед, а вернемся к нашей реальности. Сейчас «кросс-серверными» могут быть уже и рейды, собранные игроками для прохождения актуального контента (например, Цитадель Адского Пламени).
Принцип работы «кросс-серверных» локаций довольно простой, есть определенные сервера которые входят в одну группу, деление в первую очередь идет по типу сервера (PvP или PvE), а также по языковому признаку (Русскоязычные, Англоязычные и тд). То есть к примеру игроки, играющие на PvP сервере будут находиться в локации с другими игроками так же играющими на PvP сервере, хотя никто не помешает им «прыгнуть» на PvE сервер, как, впрочем, и наоборот.
Иными словами, если игрок не использовал специальных аддонов или подбор групп, то увидеть скажем на «Гордунни» игрока с «Азурегоса» будет невозможно, а вот игроков с «Ревущего Фьорда» или «Стража Смерти» вполне реально.
Территории «Warlords of Draenor» частично поддерживают «кросс-сервер», это значит, что не посетив группу или рейд лидер, который является представителем другого сервера вы не сможете попасть на другой сервер (исключение составляет Ашран) и если ваш сервер малонаселенный вы будите бегать в пустых локациях.
Существуют специальные «аддоны» для игры которые упрощают ваше перемещение по серверам. Самый простой в освоении из них это «Server Hop», который представляет собой небольшую табличку где вы можете выбрать тип сервера (PvP или PvE) и размер группы.
Хотя тут есть один нюанс, к примеру, если есть возможность выбрать «группу 1-4» это не значит, что вас не закинет в рейдовую группу, просто в ней (рейдовой группе) может оказаться один или, например, три игрока.
Так же рекомендую к установке «аддон» «Premade Filter» который отслеживает «Заранее собранные группы» по определенным словам. И работает следующим образом, в открывшимся окне стандартного интерфейса «Заранее собранных групп» вы увидите две новые кнопки, первая из них представляет собой «плюс» на красном фоне, а вторая треугольник которая так же является настройками этого «аддона».
Для отслеживания двух или более слов вам нужно нажать на «плюс», и вы увидите три поля, верхнее представляет собой аналог обычного поля «заранее собранных групп», то есть вы можете туда написать только одно слово. Второе поле представляет собой слова исключения. Самое важное для нас третье поле в которое вы вносите через пробел те слова которые нужны вам, это могут быть имена монстров или события.
Так же есть менее популярный «аддон» для прыжков по серверам это «Cross Realm Assist», но так как он работает заметно хуже предыдущего и не обновляется (но работает исправно), то удостоен лишь небольшого упоминания в этой статье.
И вот вы уже знаете принцип работы «кросс-сервера», а также обзавелись новомодными «аддонами» для него, пора использовать эту функцию на полную мощь. Как это сделать и на что способны «кросс-серверные» локации.
Второе, что напрашивается это поиск редких монстров, теперь сделать достижения, например, «Чертовски редкие» может занять не дни и недели как раньше, а считанные часы.
Для удобства советую использовать «адоны»«SilverDragon», в связке с «HandyNotes: Drenor Treasures». Даная связка «аддонов» не только покажет местоположение всех редких существ на карте, но также повесит на них «метку» и выделить в вашу цель заботливо и заранее даже когда вы не видите еще монстра.
В Танаанских джунглях есть четыре редких монстра (Пушка Смерти англ. Doomroller, Кулак Страха англ. Terrorfist, Отмщение англ. Vengeance, Коготь Смерти англ. Deathtalon) с которых мы можете получить «Медальон Легиона» который в свою очередь не только добавит вам 1000 репутации сразу со всеми Дренорскими фракциями, но также может быть продан на аукцион за довольно приличную сумму в три и более тысяч золотых.
Для поимки которых вам поможет «Premade Filter», так как группы на них собирают постоянно, и вся сложность — это успеть долететь или добежать до того момента пока его не убили. Как и с редкими монстрами в Джунглях, полутать вам разрешено их всего один раз вдень.
Третье, что приходит на ум это сделать задание быстрее, помните то чувство, когда ты пробивался к «боссу», а какой-то молодчик спокойно прошел по дороге ваших былых побед и «спулил» его? Даже если вы попали в рейдовую группу достаточно выйти из нее до того, как вы убьете нужного вам монстра. Та же такие задания как «Незримое влияние» или Развитие атаки» можно будет сделать за 2-3 минуты, а то и меньше.
Для первого задания достаточно проверить сундуки (Блестящий дренорский сундук, Подозрительно светящийся сундук, Украденный сундук с сокровищами и Лучащийся апекситовый осколок) на всех серверах, каждый сундук даст вам от одного до трех Оскверненных апекситовых фрагментов.
А во втором задании достаточно летать в поисках редких монстров или различных флагов.
Так же стоит упомянут о системе «Заранее собранных групп» где включив все языки в фильтрах вы сможете путешествовать к примеру, по Англоязычным серверам. И с помощью «аддона» «Premade Filter» о котором шла речь выше, вы легко сможете найти нужного вам монстра, событие или группу в подземелье.
Подведем итоги, на что способны «кросс-серверные локации», и как ими пользоваться. Во-первых, это можно сделать с помощью «аддонов» «Server Hop» и «Cross Realm Assist» просто нажимая кнопку «следующий» где вас будет наугад закидывать в «заранее собранную группу».
Так же с помощью самого интерфейса «заранее собранную группу» и «аддона» для упрощенной навигации по нему «Premade Filter». Так же если вы уверены в своих силах или вам нужно, что-то конкретное вы можете вообще не пользоваться «аддонами», а совершать прыжки по серверам с помощью стандартного интерфейса «заранее собранных групп».
Данная система серьезно экономит ваше игровое время, а также как показывает практика зачастую и нервы.
С вами был Хоргул, добрый маг с сервера Гордунни (Альянс), если у вас есть еще вопросы, что делать пока не «не пришел Легион» пишите мне в игре, с радостью отвечу на ваши вопросы.
Таким же способом можно шарить кд на твинков, создаем пати в нужный инст и кд передаеться через неё.
Я давно интересуюсь механизмом работы кроссерверных зон, так что, вот грязные технические подробности:
— кроссервер динамичен, число реалмов, «сходящихся» в текущий момент в конкретной локации, зависит от количества игроков в локации. Например, при открытии Ярмарки на Дракономоре, кроссервер отключён (кроме как, через создание пати, конечно). Зато на следующий день по ярмарке уже бегают люди с Дракономора и ВП, что означает, что количество народу спало и включился автоматический кроссервер.
— что такое кроссервер с точки зрения сервера вообще? Это:
1) для каждой локации по неким критериям выбирается «базовый» сервер. Скорее всего, содержащий в этой локации меньше всего игроков по сравнению с прочими серверами.
2) выбирается еще один сервер, все игроки, находящиеся в указанной локации (и вновь прибывающие в локацию) автоматически переносятся на первый сервер
3) если людей всё еще мало, повторяем операцию и переносим сюда народ с третьего сервера
— полётники не подвержены кроссерверу. Например, в данный момент, локация Седые Холмы кроссерверная и, допустим, её основой является сервер Вечная Песня (так автоматически выбрала система). Это значит, что люди с других серверов при попадании в локацию перемещаются на ВП и видят тамошних рарников. Но если вы (допустим, вы игрок с Азурегоса) влетаете в локацию на «такси», то вы влетаете в «свою» копию локации и в полёте видите там живых рарников Азурегоса. А вот спешившись с такси вы сразу попадаете в кроссерверный мир (это у нас, мы условились, ВП), поэтому будете безрезультатно искать рарников с криками «ну я тут пролетел 30 сек назад, он же тут был. 1»
— в патче 5.x была возможность отключить кроссервер и попасть в копию текущей локации на СВОЁМ сервере, где в данный момент ни души (потому что остальных кидает куда-то на другой мир, «базисный»). Что позволяло легко находишь затерянного протодракона и фигурки верблюдов. По этой причине звание «Погонщик верблюдов» в своё время продавали за каких-то жалких 20к золотых. Работает ли способ сейчас не знаю, рецепт гуглится по «CRZ + Peerblock» и, по слухам, за такие фокусы карали баном.
CORS для чайников: история возникновения, как устроен и оптимальные методы работы
В этой статье подробно разобрана история и эволюция политики одинакового источника и CORS, а также расписаны разные типы доступа между различными источниками, а также несколько оптимальных решений работы с ними.
Если вы давно хотели разобраться в CORS и вас достали постоянные ошибки, добро пожаловать под кат.
Ошибка в консоли вашего браузера
No ‘Access-Control-Allow-Origin’ header is present on the requested resource.
Cross-Origin Request Blocked: The Same Origin Policy disallows reading the remote resource at https://example.com/
Access to fetch at ‘https://example.com’ from origin ‘http://localhost:3000’ has been blocked by CORS policy.
Я уверен, вам уже доводилось видеть похожие сообщения об ошибках в консоли вашего браузера. Если нет, не волнуйтесь, скоро увидите. Все программисты достаточно часто натыкаются на CORS-ошибки.
Эти всплывающие ошибки в процессе разработки просто раздражают. Но на самом деле, CORS — это невероятно полезный механизм в мире неправильно настроенных веб серверов, злоумышленников, орудующих в интернете и организаций, продвигающих веб-стандарты.
Но давайте-ка пойдем к истокам…
В начале был первый субресурс
Верни мне мой 1993 г.
Источники & cross-origin
Источник идентифицируется следующей тройкой параметров: схема, полностью определенное имя хоста и порт. Например, и имеют разные источники: первый использует схему http, а второй https. Вдобавок, портом для http по умолчанию является 80, тогда как для https — 443. Следовательно, в данном примере 2 источника отличаются схемой и портом, тогда как хост один и тот же (example.com).
Таким образом, если хотя бы один из трех элементов у двух ресурсов отличается, то источник ресурсов также считается разным.
Если, к примеру, мы будем сравнивать источник с другими источниками, то мы получим следующие результаты:
| URL | Результат | Причина |
| Тот же | Отличается только путь | |
| Тот же | Отличается только путь | |
| Отличен | Разные протоколы | |
| Отличен | Отличается порт (https:// порт является по умолчанию 443) | |
| Отличен | Разный хост |
Пример запроса между различными источниками: когда ресурс (то есть, страница) типа попробует отобразить тег из источника (заметьте, что схема поменялась!).
Слишком много опасностей запроса между различными источниками
Теперь, когда мы определились, что такое совместное использования ресурсов между разными и одинаковыми источниками, давайте посмотрим, в чем же дело.
Когда тег появился во Всемирной Паутине, мы тем самым открыли ящик Пандоры. Некоторое время спустя в Сети появились теги
Небезопасный cross-origin resource sharing
Что такое CORS?
CORS — это механизм безопасности, который позволяет веб-странице из одного домена обращаться к ресурсу с другим доменом (кросс-доменным запросом). Без таких функций, как CORS, веб-сайты ограничиваются доступом к ресурсам одного и того же происхождения через так называемую политику единого происхождения.
Первым шагом в понимании CORS является знание того, как работают некоторые функции безопасности веб-браузеров. По умолчанию веб-браузеры не разрешают AJAX-запросы на сайты, кроме сайта, который вы посещаете. Это называется политикой единого происхождения, и это важная часть модели веб-безопасности. Совместное использование ресурсов между разными источниками (cross-origin resource sharing) — это механизм HTML 5, который дополняет политику единого происхождения для упрощения совместного использования ресурсов домена между различными веб-приложениями.
Спецификация CORS определяет набор заголовков, которые позволяют серверу и браузеру определять, какие запросы для междоменных ресурсов (изображения, таблицы стилей, сценарии, данные и т. д.) разрешены, а какие нет. CORS является техникой для ослабления правила одного источника, позволяя JavaScript на web странице обрабатывать REST API запросы от другого источника.
По своей сути, CORS это защитная оболочка для браузера. Совместное использование ресурсов между разными источниками очень важно в современном мире сложных веб-приложений, и все браузеры поддерживают его. В частности, CORS обычно используется для междоменных AJAX запросов.
Обмен запросами
Взаимодействие ресурсов начинается с отправки GET, POST или HEAD запросу к тому или иному ресурсу на сервере. Тип содержимого POST запроса ограничен application/x-www-form-urlencoded, multipart/form-data или plaintext. Запрос включает заголовок Origin, который и указывает на происхождение клиентского кода.
Веб приложение проверяет происхождение запроса и на основании Origin либо принимает запрос, либо отвергает его. Если запрос принят, запрашиваемые сервер ответит заголовком Access-Control-Allow-Origin. Этот заголовок будет указывать клиенту с каким происхождением будет разрешен доступ. Принимая во внимание, что Access-Control-Allow-Origin соответствует Origin запроса, браузер разрешит запрос.
При запросе на site.ru/resource с site.com/some будут следующие заголовки:
Если запрос принят, запрашиваемый сервер добавляет к ответу заголовок Access-Control-Allow-Origin, содержащий домен запроса site.com.
Access-Control-Allow-Origin указывает, какие домены могут обращаться к ресурсам сайта. Например, если компания имеет домены site.ru и site.com, то ее разработчики могут использовать этот заголовок, чтобы предоставить site.com доступ к ресурсам site.ru.
Access-Control-Allow-Methods определяет, какие HTTP-запросы (GET, PUT, DELETE и т. д.) могут быть использованы для доступа к ресурсам. Этот заголовок позволяет повысить безопасность, указав какие методы действительны, когда site.com обращается к ресурсам site.ru.
Access-Control-Max-Age указывает время жизни предзапроса (также он называется «предполетным») доступности того или иного метода, после которого должен быть выполнен новый запрос на тот или иной метод.
Отказ от политики запроса из белого списка
Использование правильных заголовков, методов и доверенных доменов вроде бы не позволяет злоумышленнику вклиниться в эту цепочку обмена. На самом деле это не так. И подводит здесь коварная *.
Наиболее распространенная проблема безопасности при внедрении CORS — это отказ от проверки запроса белых списков. Зачастую разработчики устанавливают значение для Access-Control-Allow-Origin в ‘*’. Это позволяет любому домену в Интернете получать доступ к ресурсам этого сайта.
Основания проблема кроется в том, что многие компании размещают API в пределах домена, не ограничивания к нему доступ политикой «белого списка». Это порождает уязвимость.
Attack scenario
Большинство веб-приложений использует файлы cookie для отслеживания информации о сеансе. При генерации cookie ограничены определенным доменом. При каждом HTTP запросе к этому домену браузер подставлять значение cookie, созданные для этого домена. Это относится к каждому HTTP запросу — для получения изображений, страниц или AJAX-вызовов.
Что это означает на практике: при авторизации в goodsite.ru, cookie генерируются и хранятся для этого домена. Веб-приложение goodsite.ru основано на технологии SPA и содержит REST API на goodsite.ru/api для взаимодействия с помощью AJAX. Предположим, что вы просматриваете badsite.ru, будучи авторизованным на goodsite.ru. Без ограничения Access-Control-Allow-Origin по белому списку (с указанием сайта) badsite.ru может выполнить любой разрешенный аутентифицированный запрос к goodsite.ru, даже не имея прямого доступа к сессионной cookie!
Это связано с тем, что браузер автоматически привязывает файлы cookie к goodsite.ru для любых HTTP запросов в этом домене, включая AJAX запросы от badsite.ru в goodsite.ru. Таким образом атакующий может взаимодействовать даже с вашим внутренним ресурсом, недоступным в сети интернет и находящимся в корпоративной сети.
Наглядные примеры
В качестве примера приведу код OWASP Testing Guide. Уязвимое веб-приложение, с неверно настроенной политикой Access-Control-Allow-Origin.
Например, такой запрос будет показывать содержимое файла profile.php:
Т.к. отсутствует проверка URL-адреса, атакующий может добавить скрипт, который будет выполняться в контексте домена example.foo со следующим URL:
В качестве еще одного примера рекомендую ознакомиться с Stealing contact form data on www.hackerone.com using Marketo Forms XSS with postMessage frame-jumping and jQuery-JSONP — публичным раскрытием уязвимости, включая небольшую видео-демонстрацию.
Защитные меры
Используйте белые списки доменов. Если такой возможности нет — размещайте API вне домена — политики CORS для sub.site.ru, site.ru и даже разным портам будут различаться.
Указывайте конкретные методы обращения.
Не используйте wildcard — CORS учитывает или * или домен.
Обязательно указывайте протокол. «Access-Control-Allow-Origin: site.ru» не будет учтён, поскольку протокол отсутствует.
При использовании Access-Control-Allow-Credentials: true всегда используется Access-Control-Allow-Origin: домен — при использовании * браузер не получит ответ.
Нужные HTTP-заголовки
Наши клиенты в Fastly любят манипулировать заголовками HTTP. Подбор правильной комбинации заголовков — одна из лучших вещей, какую вы можете сделать для безопасности своего сайта и значительного вклада в его производительность.
В предыдущей статье мы рассмотрели ненужные заголовки. Сейчас разберёмся, какие заголовки действительно следует настроить для своего сайта.
Домашняя работа
В интернете есть несколько сервисов, которые проанализируют ваш сайт и посоветуют, какие заголовки добавить. Я посмотрел securityheaders.io и Observatory от Mozilla, чтобы дополнить собственные знания и данные, полученные из сети Fastly.
Какие заголовки должны быть на вашем сайте
Итак, какие основные заголовки должны быть в ответах ваших серверов? Бóльшая часть отвечает за повышение безопасности:
Content-Security-Policy. Действует как файрвол в браузере. Если ваш сайт скомпрометирован, помогает ограничить ущерб, предотвращая подключения к неодобренным хостам. Очень важный заголовок. Если у вас его нет, нужно включить.
Referrer-Policy. Настраивает уровень детализации для включения в заголовок Referer при уходе со страницы. Помогает предотвратить утечку данных на сайты, куда идут ссылки. Настоятельно рекомендуется.
Strict-Transport-Security. Предотвращает любые попытки подключения к сайту по обычному HTTP. Помогает остановить MiTM-атаки и повышает безопасность сайта. Тоже настоятельно рекомендуется.
CORS. Заголовки Cross-Origin Resource Sharing позволяют загружать URL скриптом с другого источника. Это необязательный заголовок. Заголовки такого типа являются разрешающими, а не запрещающими, поэтому их отсутствие даёт максимальный уровень безопасности.
Другие предназначены для производительности:
Timing-Allow-Origin. Даёт инструментам мониторинга доступ к данным по таймингу запроса. Это во многом отношении ценная информация, она позволяет сильно улучшить качество аналитики вроде Google Analytics или Speedcurve.
Link rel=preload. Сообщает браузеру о критических ресурсах, которые следует скачать, даже если непосредственной необходимости в них ещё не возникло. Используйте заголовок для шрифтов и важных CSS.
Server-Timing. Предоставляет с сервера информацию по таймингу, которая дополняет Navigation Timing API и Resource Timing API более детальной информацией о времени выполнения задач на сервере (например, «сколько времени мы провели в MySQL»). Отлично подходит для мониторинга данных о производительности, в сочетании с инструментами RUM Beacon.
Давайте более подробно рассмотрим некоторые из них.
Content Security Policy: держите его в рамках
Хотя Content-Security-Policy — один из самых важных заголовков, он также один из самых многословных. Самый большой заголовок CSP, который я нашёл в HTTPArchive, занимал 10 КБ. Десять килобайт. Для одного значения заголовка. Хуже того: в то время как тела ответов могут передаваться потоком, заголовки буферизуются большинством серверов и прокси-серверов и передаются только после завершения. Сжатие HTTP/2 немного помогает запоминать их между запросами, но это не означает, что заголовок 10 КБ — это нормально.
Кроме того, заполняя весь первый пакет вашего ответа, вы можете заставить браузер совершить два обращения на сервер просто для начала получения контента. Так что думайте не только об удалении ненужных заголовков, но и о максимальной оптимизации существующих.
Referrer-Policy
Можете выбрать несколько стратегий из доступных вариантов Referrer-Policy, но мой обычный совет — это “origin-when-cross-origin”, который включает Referer для всех нормальных запросов, но усекает значение только до домена, если ссылка идёт от одного домена к другому. Ссылки в пределах вашего собственного сайта включают полный реферер.
Измерение Server-Timing на edge-сервере CDN
У Server-Timing есть много приятных особенностей, а одна из них в том, что в ответ можете добавить несколько экземпляров — и все они объединятся в браузере или инструменте RUM. То есть если запрос проходит через несколько этапов серверной обработки — как это происходит в CDN — каждый этап добавляет собственные метрики времени, и они не конфликтуют между собой. Вот как добавить метрики Fastly в заголовок с помощью VCL в конфигурации службы Fastly:
Это число включает время, потраченное на ожидание бэкенда, так что в обычном случае все ваши метрики серверного времени будут меньше, чем число Fastly. Тем не менее, если мы выдаём документ из кэша Fastly, вы увидите исходные метрики времени с момента генерации страницы, но число Fastly подтвердит, что общие потери времени на самом деле очень малы.
Метрики времени сервера доступны через объект performance в JavaScript и отображаются в сетевой панели Chrome Devtools:
В настоящее время визуализация показателей на рудиментарном уровне. Но над этим усиленно работают, так что в будущем пользовательский интерфейс, вероятно, значительно улучшится.
Добавляем все правильные заголовки
Fastly — хорошее место для добавления всех заголовков безопасности и производительности. Ниже показано, как они выглядит все вместе. Добавьте этот код на этапе доставки (deliver) потока запросов, изменив значения на те, которые подходят для вашего сайта (постарайтесь не копипастить без проверки, что значения подходят для вашего сайта):
В следующей статье рассмотрим некоторые из самых экзотических заголовков, которые начинают стандартизировать и внедрять в браузеры.