Altered - par Equinox - livraison en juillet 2024

Pour les infos principales, tu peux te contenter du site web et des annonces sur les différents réseaux.

De mon côté, mon P&P est prêt en totalité, ça m’a d’ailleurs fait confirmer que je n’aime pas découper des pions :smiley:

1 « J'aime »

Une réponse complémentaire concernant la sécurité des QR codes

image

D’un côté je trouve que d’avoir une URL c’est pratique mais ça prend un peu de place pour pas grand chose et ça limite un peu les possibilités.

Par exemple je me serai pas servi de cette URL pour faire l’enregistrement. Uniquement de la consultation.

Et quit à utiliser une URL je me serai pas limité à un encodage UUID (base 16 + séparateur). Un encodage en base64 aurait fait des URLs plus courtes (et des QR encore plus petit).

Si on ajoute à cela l’achat d’un domaine court custom on réduirait pas mal le QR code.

Après les mesures de protection anti brut force me semble indispensable pour ce type de produit. D’ailleurs si c’était pas une URL ça permettrait de faire de la vérification par lot (sans préciser en retour à qui appartient les cartes, ni même si c’est un numéro valide ou enregistré.

J’avoue que je ne comprend pas l’utilisation d’une URL.
Un ID unique sur chaque cartes, surtout que c’est confirmé que la massiv scan feature ne sera que sur leur app, et tu gères coté app.
Là s’ils se font hack le site ou s’ils oublient de renew le nom de domaine (ça n’arrive jamais :sweat_smile:), bah 100% des cartes sont inutilisables en numérique ^^
Je doute que si qqn trouve la carte sans savoir d’où cela sorte, sont 1er réflexe soit de scanner le QR code pour être rédirigé vers le site web du jeu ? :confused:

L’URL est peut être juste pour les cartes promos.
Y a eu ça en complément

1 « J'aime »

Bon ça confirme au moins deux points évident (pour les connaisseurs) :

  1. Ils savent générer un UUID correct et sûrement un peu renforcé par rapport aux principes de base
  2. Ils ont fait tester leur affaire
1 « J'aime »

Techniquement c’est vrai que ca na pas de sens de mettre l’URL dans le QR code si une app spécifique est censé le lire.
L’app pourrait très bien avoir la partie URL en prefix et utilisé le reste qui vient du QR code. Ca permettrait comme @damien33 a dit de gérer des cas ou le nom de domaine change. Ca permet aussi de changer le protocol de validation, etc…

Par contre je vois pas bien pourquoi utiliser un UUID sauf si celui-ci doit pouvoir être taper facilement a la main.
Un UUID ca limite le champ de recherche, le pattern est facile ca peut être brute force.

Pour moi la solution ideal aurait été un json web token (JWT) encodé.
Ca prend peu de place, c’est signé avec un clef privé qu’ils gardent secret, et ca peut meme être valider offline.
En secu faut pas réinventé la roue.

Je suis pas sûr. Il me semble que le principe du JWT pour l’authentification se base sur l’hypothèse que les access token ont une durée de vie courte, c’est ça qui rend le système plus sécurisé.

Là imprimé sur une carte qui doit s’inscrire dans la durée, ça dépasse largement la durée qu’il doit falloir à un bon hacker pour forger un faux non ? :thinking:

Pour l’authentification oui c’est toujours un bon principe de limiter dans le temps en effet.

Ici le risque n’étant pas de forger car la clé privée reste la meme, et doit être suffisamment robuste. (ou alors n’importe qui pourrait faire n’importe quoi).

Le risque principale de JWT est le vol de celui-ci et son utilisation par un tiers.
Le principe étant que le token authentification est stocké chez le client, il est donc pas possible de le revoke a distance.

La c’est juste pour utiliser la capacité de signer la donnée, et en plus dans un format court et json qui peut etre aussi lu sans avoir a déchiffrer, tout en pouvant valider son origin coté client.
Mais effectivement c’est un peu « détourner » son utilisation, on pourrait aussi très bien encodé du json et signer ca avec une clé privée et ca revient au meme.

Ex:

{
  "cardID": "lotus noir",
  "cardNumber": 12
}

Tu base64 ca:
ewogICJjYXJkSUQiOiAibG90dXMgbm9pciIsCiAgImNhcmROdW1iZXIiOiAxMgp9
Puis tu signes avec ta clé privé. Ce qui est au final exactement ce que JWT fait.
Après ca fait quand meme un gros QRcode a imprimer.

N’importe qui peux forger la donnée, mais personne ne peux la signer.

Faudrait quand meme gérer quelque part que une seule personne est propriétaire d’une carte (ici la 12ieme du lotus noir).

Je vois pas d’intérêt au JWT ici.

Le JWT permet de :

  • Stocker des méta-données (entête, dont l’algo de signature)
  • Stocker des données « semi » structurées
  • Stocker une longue signature pour une vérification par un tiers

Hors :

  • L’algo de signature est un invariant (information inutile)
  • La payload se constitue uniquement d’un scalaire de type et de taille connu
  • Aucune nécessité (et au contraire c’est peu recommandé), de valider si la donnée est valide ou non par un « consommateur »

Si on reprend les « besoins » :

  • Un grand nombre pour un grand espace de valeurs « possibles » ainsi limiter les collisions et la génération « fortuite »
  • Non-prédictible : très difficile ou impossible à « deviner » (déduire) à partir des informations connues
  • Non déterministe : très difficile à produire à partir d’un nombre fini d’exemple

Ce qui m’amène à ce type de solution :

  • 128 bits = 2^128 =~ 2,6e38
  • Un nombre généré puis associé à la carte dans une base de données (indirection)
  • Un nombre aléatoire ou hash (l’un ou l’autre de manière « cryptographique »)
1 « J'aime »

A ceux qui cherchent le Print’n Play en français.

On a bien la version démo PnP, mais elle n’est qu’en anglais. Cependant, on peut trouver les cartes sur le Mod Tabletop Simulator. Pour cela, il faut :

  • S’abonner au Mod via le workshop steam : https://steamcommunity.com/sharedfiles/filedetails/?id=3067304840
  • démarrer TTS et télécharger le MOD
  • aller dans "Mes documents / My Games / TabletopSimulator / Mods. Là se trouvent en vrac tous les fichiers de tous les mods que vous avez téléchargé. Mais si vous classez les fichier par ordre de date, les premiers seront ceux du mod Altered que vous venez de télécharger. Les cartes sont là au format JPG, reste plus qu’à imprimer.

1 « J'aime »

Bah non, pas du tout en fait :slight_smile:
Côté FR sur le Dicord, y a ce message qui est épinglé

Le serveur Discord officiel de Altered : Altered TCG Official
Le site officiel de Altered, où vous trouverez le print’n’play : https://www.altered.gg/
Un design de tapis de jeu non-officiel créé par Ariale : tapi.pdf - Google Drive
Les cartes d’aides de jeu, traduites non-officiellement par Ariale : Rule_tradFR.pdf - Google Drive
Les règles rapides traduites non-officiellement par Ariale : reglesDesign.pdf - Google Drive
Le Print and Play en français fourni par Iaomon (Les Hauts Plateaux) : kDrive
Le mod TableTopSimulator non-officiel par Nuclehon : Steam Workshop::[FR🇫🇷/EN🇬🇧] Altered TCG (10/30 Print and Play Demo)

Et malgré ce qui est écrit, ce ne sont pas vraiment des trads « non officielles »

2 « J'aime »

Aaahhh, ben merci beaucoup.
Effectivement, je n’ai pas trainé mes guêtres sur le Discord, et si le site officiel anglais a bien le PnP en téléchargement, il n’y a rien sur le site FR.
Donc merci pour le lien. Je vais moins me faire chier en imprimant ça ce soir sur la laser du bureau :no_mouth:

Imprime en deux exemplaires stp, je t’envois mon adresse. Merci :slight_smile:

2 « J'aime »

Y’a moyen, mais je fais ça en fin de journée. De plus, j’ai eu des soucis sur le papier épais 250g que j’avais acheté pour l’occasion (ça coince et impossible d’avoir un recto-verso aligné alors que le PDF est nickel, c’est rageant).

Au pire, je peux t’envoyer ça sur des feuilles standard toutes molles…

1 « J'aime »

En général c’est 160 max pour ça avec une imprimante pas chère… mon imprimeur arrive jusqu’à 250g avec une imprimante enormissime…

J’ai imprimé ça sur le simple papier au boulot, juste le recto et ensuite hop, avec mes cartes sleevées du 1er Thunderstone :o

Ici, c’est la grosse laser du bureau, je ne la classerait pas en « pas chère », et en principe elle devrait gober sans soucis du 250g… Mais je retente ce soir.

Le 250 (voir 350) en général ça passe sans soucis en simple face c’est le RV qui chie :slight_smile:

1 « J'aime »