Kaputte Nachbarino-Liste

Benutzer, die gerade dieses Thema anschauen: 1 Gast/Gäste

Thema geschlossen  Thema abonnieren
Scrypton Gebannter Benutzer
Awards:
#1

12.03.2018, 20:44

N'Abend lobro,

ich muss mich entschuldigen, habe ich bei einem Test gerade wohl deine Nachbarino-Liste zerstört. Wenn du den letzten Eintrag aus der Datenbank löscht sollte es wieder gehen.
Merke: Nie irgendwelche Benutzereingaben ungeprüft akzeptieren. Da wäre erheblich mehr gegangen...  1f603


Grüße,
Scry

GeneralNedLudd Rang: Abe Simpson
Awards:
#2

12.03.2018, 21:46

So richtig kaputt ist die Nachbarino Liste nicht, ich habe mich gerade da eingetragen.
Oder ist sie schon repariert?

Aberglaube bringt Unglück

XP-Rechner
Charakter Komplettliste XLS


Scrypton Gebannter Benutzer
Awards:
#3

12.03.2018, 22:01 (Dieser Beitrag wurde zuletzt bearbeitet: 12.03.2018, 22:02 von Scrypton.)

(12.03.2018, 21:46)GeneralNedLudd schrieb: So richtig kaputt ist die Nachbarino Liste nicht, ich habe mich gerade da eingetragen.
Oder ist sie schon repariert?
Die Zerstörung muss durch das Entfernen meines korrupten Eintrags aufgehoben worden sein.
Das sah nämlich so aus:
[Bild: nachbarino_small.png]

Aber: Das Problem dahinter besteht noch immer, Benutzereingaben werden ungefiltert übernommen.
Aktuell habe ich nur mal für unseren darki einen Eintrag eingesetzt (direkt unter deinem) - natürlich nicht mit seinem wirklichen Spielernamen.

GeneralNedLudd Rang: Abe Simpson
Awards:
#4

13.03.2018, 00:41 (Dieser Beitrag wurde zuletzt bearbeitet: 13.03.2018, 01:11 von GeneralNedLudd.)

Du hast also statt eines Spielernamens irgendwelche Befehle eingegeben und so dem Server vorgegaukelt, du wärst darki?
Dann ist wirklich was nicht in Ordnung.
Ich hatte darkis geheim Eintrag auch gesehen und dachte er wollte wie ich testen, ob die Liste noch funktioniert.

Warum machst du das als Thema und nicht als PN ?
Andererseits ist es für mich als Laien interessant, das solche Dinge heutzutage offenbar nicht mehr von Hand programmiert werden (also nur als eine ganz primitive Texteingabefunktion ohne irgendeine Auswertung.) sondern viel zu mächtige vorgegebene Scripte, benutzt werden, von denen nur ein paar wenige Funktionen benötigt werden, aber die anderen Funktionen nicht abgeschaltet sind, weil es eben einfacher und besser erweiterbar ist.
Ins Auge gesprungen ist mir, dass wohl schon um ein paar Schriftfonts zu laden Google-Dienste bemüht werden.

Aberglaube bringt Unglück

XP-Rechner
Charakter Komplettliste XLS


Scrypton Gebannter Benutzer
Awards:
#5

13.03.2018, 01:16 (Dieser Beitrag wurde zuletzt bearbeitet: 13.03.2018, 01:30 von Scrypton.)

(13.03.2018, 00:41)GeneralNedLudd schrieb: Du hast also statt eines Spielernamens irgendwelche Befehle eingegeben
So in etwa; aber nur im ersten Schritt und lief im Input-Feld für den Origin-Account ab. Der darki-Eintrag basiert auf der Veränderung eines... anderen Input-Feldes. Ich möchte hier nicht zu sehr ins Detail gehen; gerne per PN.

Gerade nochmal getestet; einige Dinge scheinen nur halb ausgeführt zu werden. Kurios. 1f603

//Edit: Nun weiß ich auch weshalb -> Origin-Name werden entweder nur maximal 16 Zeichen in der Datenbank abgelegt oder eben nur die ersten 16 ausgegeben. So oder so wird der Rest an irgendeiner Stelle abgetrennt - anstatt mitzuteilen, dass zu viele Zeichen angegeben wurden. Ebenfalls kurios. ^^

//Edit²: Hab mir, nach bluemchens, auch mal eben deinen Namen ausgeliehen.

darki667 Rang: Matt Groening
Awards:
#6

13.03.2018, 01:39

Den ganzen technischen Schnickschnack dahinter verstehe ich zwar nicht, frage mich aber, warum man überhaupt an der Liste rumpfuschen muß?

Nein, ich habe da tatsächlich nichts eingetragen. Aber solange ich jetzt nicht haufenweise unerwünschte Nachbarschaftsanfragen bekomme, stört mich das auch nicht weiter.

Aktuell habe ich 0 Plätze frei. Ich mache keine Warteliste!
Bitte nur aktiv schreibende Forumsmitglieder (und natürlich aktive Spieler). Wenn Account-Name vom Forumsnamen abweicht, bitte kurze PN zur Klärung. Ansonsten PN nicht zwingend nötig.

GeneralNedLudd Rang: Abe Simpson
Awards:
#7

13.03.2018, 01:55 (Dieser Beitrag wurde zuletzt bearbeitet: 13.03.2018, 02:01 von GeneralNedLudd.)

Das es da eine Lücke gibt, ist schon interessant. Aber man hätte das auch zunächst per PN an Lobro oder andere Mods klären können. Und als Beweis Lobro oder einen nicht Existierenden Account als Ersteller eintragen können.

Aberglaube bringt Unglück

XP-Rechner
Charakter Komplettliste XLS


Scrypton Gebannter Benutzer
Awards:
#8

13.03.2018, 02:05 (Dieser Beitrag wurde zuletzt bearbeitet: 13.03.2018, 02:06 von Scrypton.)

(13.03.2018, 01:39)darki667 schrieb: Den ganzen technischen Schnickschnack dahinter verstehe ich zwar nicht, frage mich aber, warum man überhaupt an der Liste rumpfuschen muß?
Reine Neugier. Am Anfang wollte ich nur sehen ob das Nachbarschafts-Formular technisch ins Forum integriert wurde oder nur augenscheinlich - und das lies sich natürlich darüber feststellen zu sehen, ob und wie sich das Formular die Foren-Usernamen zieht.
Als ich gesehen habe, dass es nicht wirklich (und wenn, dann nicht signifikant) integriert ist fragte ich mich, ob denn grundlegende Vorgehensweisen betreffend der Sicherheit eingehalten wurden. Das war nun eben nicht der Fall.

Müssen tu ich natürlich gar nichts, aber was phöses hatte ich ja auch nie vor. Und so wie es aussieht spielt hier der glückliche Zufall hinein, dass aufgrund der Zeichengrenze weder gefährliche Javascripts noch SQL-Injections zustande kommen könnten.
Würde nie irgendwo "rumgepfuscht" werden, wäre heute vieles noch erheblich unsicherer...

lobro Administrator
Awards:
InfluencerInfluencer
#9

13.03.2018, 02:13

(13.03.2018, 01:55)GeneralNedLudd schrieb: Das es da eine Lücke gibt, ist schon interessant. Aber man hätte das auch zunächst per PN an Lobro oder andere Mods klären können. Und als Beweis Lobro oder einen nicht Existierenden Account als Ersteller eintragen können.

Genauso sehe ich das auch!
Diese Aktion ist unter aller Sau. Auf Fehler aufmerksam zu machen ist schön und gut, aber an der Page rumzupfuschen und gefundene Fehler öffentlich zu stellen, wo vor allem wirkliche Hacker mitlesen, ist nicht drin.

Der entsprechende User wurde dementsprechend verwarnt und die Nachbarino-Funktion ist vorübergehend nicht verfügbar. Ich schreibe eine News, wenn diese wieder erreichbar ist.


Ich mache hier zu.



Gruß
lobro

Hier könnte eine Signatur stehen

pether Co-Administrator
Awards:
Helfende ElfeHelfende Elfe
#10

13.03.2018, 02:22 (Dieser Beitrag wurde zuletzt bearbeitet: 13.03.2018, 02:28 von pether.)

Die Implemtierung ist auch simpel ohne große Checks.
Das Sicherheitskonzept dahinter ist ganz simpel. Es ist nicht integriert in das Forum, läuft separat.
Somit finden "Angriffe" nur auf das Tool (welches keine sensiblen Daten hat) statt. Werden Angriffe, Störungen, bewuste Störeinträge identifiziert werden diese als schädlich eingestuft (da Sie mind. unsere Zeit fressen), betreffendeUser verwarnt und notfalls gelöscht.

Das ist weitaus effektiver und ökonomischer als alle möglichen Prüfroutinen zu implementieren und hat bisher jahrelang super funktioniert.

Gruß Pether

aktueller Status: eher Offline -- Wer mir also PNs schreibt möge sich bitte auf lange Antwortzeiten einstellen.
-----------
Es gibt 10 Arten von Menschen. Die die Binärcode verstehen und die die ihn nicht verstehen.

darki667 Rang: Matt Groening
Awards:
#11

13.03.2018, 02:26

(13.03.2018, 02:13)lobro schrieb: Ich mache hier zu.


Gruß
lobro

Ich glaube, pether hat vergessen, den Schlüssel wieder umzudrehen.

Aktuell habe ich 0 Plätze frei. Ich mache keine Warteliste!
Bitte nur aktiv schreibende Forumsmitglieder (und natürlich aktive Spieler). Wenn Account-Name vom Forumsnamen abweicht, bitte kurze PN zur Klärung. Ansonsten PN nicht zwingend nötig.

Bluemchenfee2509 Off-Topic Moderator
Awards:
Helfende ElfeHelfende Elfe
#12

13.03.2018, 02:29

Dann dreh ich halt den Schlüssel nochmal rum.