Web api key :: Русскоязычный Форум

ReBullet Jul 17, 2023 @ 2:16pm

Originally posted by габимару:
Помогите если апи ключ дать другому человеку сможет ли он меня взломать или что то того

Совет тебе на всю жизнь. Если ты не знаешь что это - лучше не трогай.

#1

Zorgul Jul 17, 2023 @ 2:19pm

"Или что то того".
Имея доступ к вашему ключу можно много чего сделать. В том числе, увести ваш инвентарь.
Я даже больше скажу: у простого игрока такого ключа быть не должно. Чаще всего он появляется при посещении всяких стрёмных, а порой откровенно скамерских сайтов.

Если по этой ссылке https://steamcommunity.com/dev/apikey поле НЕ пустое, то настоятельно рекомендую:
1) Выйти со всех устройств https://store.steampowered.com/twofactor/manage (кнопка внизу)
2) Отозвать ключ здесь https://steamcommunity.com/dev/apikey
3) Сменить пароль на акке

#2

white but not quite Jul 17, 2023 @ 2:21pm

Originally posted by Zorgul:
"Или что то того".
Имея доступ к вашему ключу можно много чего сделать. В том числе, увести ваш инвентарь.

Имея доступ только к ключу невозможно увести инвентарь. В смысле, в схеме подмены предложений обмена, если ты об этом, ключ используется, чтобы мониторить предложения и получать информацию о них. Как-то с ними взаимодействовать через эти веб API невозможно (раньше можно было отменять исходящие, но валв убрали эту возможность либо в конце 2021, либо где-то в 2022).

Last edited by white but not quite; Jul 17, 2023 @ 2:28pm

#3

Zorgul Jul 17, 2023 @ 2:31pm

Originally posted by WRYYYYY:
ключ используется, чтобы мониторить предложения и получать информацию о них. Как-то с ними взаимодействовать через эти веб API невозможно

Однако каждый день появляются темы с отменёнными обменами и угнанными шмотками. Даже если API-ключ действительно не позволяет подобного, то, один фиг, не стоит давать даже малейшего "повода" скамерам и иметь подобный ключ.

#4

white but not quite Jul 17, 2023 @ 2:38pm

Originally posted by Zorgul:
Однако каждый день появляются темы с отменёнными обменами и угнанными шмотками. Даже если API-ключ действительно не позволяет подобного ...

Никаких даже, это факт, который доказуем.

Originally posted by Zorgul:
... то, один фиг, не стоит давать даже малейшего "повода" скамерам и иметь подобный ключ.

Я тоже думаю, что тут есть риск, что тот, кто просит у тебя этот ключ на самом деле преследует корыстные цели, и можеть попытаться тебя отскамить, заманив на фишинговый сайт или ещё как-то.

#5

LonerD Jul 17, 2023 @ 4:18pm

Originally posted by Девочка:
Помогите если апи ключ дать другому человеку сможет ли он меня взломать или что то того

Если это незаданный вопрос - то нет, "взломать" не сможет, пока ты сам не дашь логин-пароль-код аутентификатора или доступ к своему почтовому ящику.
Самое страшное, что можно сделать через апи-ключик - это промониторить обмен, как сказано выше, удалить друзей, изменить описание профиля... шалости.

Last edited by LonerD; Jul 17, 2023 @ 4:19pm

#6

white but not quite Jul 17, 2023 @ 5:19pm

Originally posted by LonerD:
удалить друзей, изменить описание профиля... шалости.

Да и это тоже нельзя на самом деле. И если было бы можно, то, думаю, что валв бы также избавились от этих методов, аналогично удалению CancelTradeOffer и DeclineTradeOffer. Что было сделано как раз-таки с целью урезать возможности подобных злоумышленников, заполучивших чей-то ключ.

Last edited by white but not quite; Jul 17, 2023 @ 5:21pm

#7

LonerD Jul 18, 2023 @ 9:00am

Originally posted by Maybe capitalism. — Hemingway:
Originally posted by LonerD:
удалить друзей, изменить описание профиля... шалости.

Да и это тоже нельзя на самом деле. .

Запрос RemoveFriend есть (через Access token)
А вот насчёт описания профиля... действительно не вижу, в докментации только
SetAnimatedAvatar
SetAvatarFrame
SetEquippedProfileItemFlags
SetFavoriteBadge
SetMiniProfileBackground
SetProfileBackground
SetProfilePreferences (что это такое?)
SetProfileTheme
SetSteamDeckKeyboardSkin

Last edited by LonerD; Jul 18, 2023 @ 9:03am

#8

white but not quite Jul 18, 2023 @ 2:55pm

Originally posted by LonerD:
Originally posted by Maybe capitalism. — Hemingway:

Да и это тоже нельзя на самом деле. .
Запрос RemoveFriend есть (через Access token)
А вот насчёт описания профиля... действительно не вижу, в докментации только
SetAnimatedAvatar
SetAvatarFrame
SetEquippedProfileItemFlags
SetFavoriteBadge
SetMiniProfileBackground
SetProfileBackground
SetProfilePreferences (что это такое?)
SetProfileTheme
SetSteamDeckKeyboardSkin

Это незадокументированные методы на сайте от xpaw. Они ещё специально помечены жёлтым лейблом, так как не все неофициальные методы будут рабочими. Там на главной странице он объясняет, что собирает это всё как из официально задокументированных интерфейсов и методов, так и выдёргивает потенциально-рабочие из протобаф файлов клиента Стим, как, например, те, что ты перечислил[github.com]. Поэтому какие-то методы не предназначены для внешнего доступа через веб API в принципе, как я понимаю.

У меня не получалось удалить друга или отклонить заявку через https://steamapi.xpaw.me/#IPlayerService/RemoveFriend. Также не получилось выставить анимированный аватар и рамку, фон и всё остальное. Они все возвращают 401 (Unauthorized. Access is denied. Retrying will not help. Please verify your key= parameter). Я на всякий также пробовала POST-запросы из оф. док. как создать/удалить аккаунт игрового сервера через https://steamapi.xpaw.me/#IGameServersService/, и они работают прекрасно.

Например, чтобы установить рамку, я сперва получила communityitemid для текущей рамки, что у меня стоит, прозвонив https://steamapi.xpaw.me/#IPlayerService/GetAvatarFrame

{ "response":{ "avatar_frame":{ "communityitemid":"22913021239", "image_small":"items/1192640/6b555763a9ff0815cff7d45480f03ff4d1ca4ab3.png", "image_large":"items/1192640/07b0f044cf3d344e4f80fb2bb29e9471c6280f6b.png", "name":"Sparkles!", "item_title":"Sparkles!", "item_description":"Cuteness and sparkles!", "appid":1192640, "item_type":38, "item_class":14 } } }

Потом убрала её и попробовала сменить через SetAvatarFrame, что выдало 401 🤷🏻‍♀️

EDIT: Хм, что именно ты имеешь в виду под access token? И я не знаю, для чего SetProfilePreferences. Но, если исходить из названия, то возможно, что для скрытия наград[i.imgur.com]

Last edited by white but not quite; Jul 18, 2023 @ 7:58pm

#9

Geronimo Mar 28 @ 4:35am

Originally posted by Zorgul:
"Или что то того".
Имея доступ к вашему ключу можно много чего сделать. В том числе, увести ваш инвентарь.
Я даже больше скажу: у простого игрока такого ключа быть не должно. Чаще всего он появляется при посещении всяких стрёмных, а порой откровенно скамерских сайтов.

Если по этой ссылке https://steamcommunity.com/dev/apikey поле НЕ пустое, то настоятельно рекомендую:
1) Выйти со всех устройств https://store.steampowered.com/twofactor/manage (кнопка внизу)
2) Отозвать ключ здесь https://steamcommunity.com/dev/apikey
3) Сменить пароль на акке

а если поле пустое , но меня тут 3 раза взломали за месяц , не чё не делать)?

#10

Shifundy Mar 28 @ 4:40am

Originally posted by Geronimo:
Originally posted by Zorgul:
"Или что то того".
Имея доступ к вашему ключу можно много чего сделать. В том числе, увести ваш инвентарь.
Я даже больше скажу: у простого игрока такого ключа быть не должно. Чаще всего он появляется при посещении всяких стрёмных, а порой откровенно скамерских сайтов.

Если по этой ссылке https://steamcommunity.com/dev/apikey поле НЕ пустое, то настоятельно рекомендую:
1) Выйти со всех устройств https://store.steampowered.com/twofactor/manage (кнопка внизу)
2) Отозвать ключ здесь https://steamcommunity.com/dev/apikey
3) Сменить пароль на акке
а если поле пустое , но меня тут 3 раза взломали за месяц , не чё не делать)?

да это устаравешая инфа про апи ключ
делать остальные вещи из списка

#11

Report this post