Das Forum ist read-only und nur noch zu Archivzwecken vorhanden. Neue Benutzer werden nicht mehr freigeschalten.
Benutzt bitte unser aktuelles Forum: http://www.battle-planet.de/pbp/main/forum_neu.php
Nächste Woche werde ich mir den Code mal anschauen. Ich möchte den PBEM-Server noch so lange weiterbetreiben, bis eine vollständig in Hanni's PBP-Website integrierte Fassung zur Verfügung steht.
SOOO gravierend sind die bisher gefunden fehler nun auch nicht dass hier gleich weltuntergangsstimmung herschen muss. Mit den gefunden Problemen muss sich jeder webmaster derzeit rumschlagen.
Es handelt sich um eine XSS (Cross site scripting) attacke welche durch ungeprüfte nutzereingaben zustande kommt.
Bei der einfacheren variante müsstet ihr einen manipulierten link aufrufen um opfer zu werden, was hier so gut wie ausgeschlossen werden kann.
Als schutz einfach nicht auf links klicken die seltsam aussehen und viele sonderzeichen enthalten wie z.b.:
Aufgrund eines datenbankproblems würden wir sie bitten folgenden link aufzurufen um ihr profil zu retten: http://transcendent-illusions.de/asc/ind...,32,88,83,83,33) (nein das ist kein funktionierender exploit den ich hier öffentlich poste, wer wissen will wies geht -> google)
Das gilt im übrigen für ALLE links im netz. Nicht nur für PBP
Variante 2 der möglichen angriffe auf das portal war persistent XSS was n stück weit gefärhlicher ist da ich keinen link mehr brauche.
Bei beiden lücken ist es somit möglich euch gefälschte seiten unter zu jubeln und euere logindaten zu stehlen. Dies betrifft aber nur die PBP website. (voraussgestzt ihr habt n vernüftigen browser mit anständigem sicherheitskonzept, welcher die Seiten und tabs gegeneinander abschrimt: Also Firefox und Opera. IE schon mal nicht, ebensowenig chrome und über safari kann ich keine aussage machen)
Die lösung des Problem ist trivial und simpel: ALLES was in irgendweiner form an eingaben vom nutzerseite her kommt (alle requestparameter ob per Post oder GET) einfach validieren. Sprich n regex drauf los lassen der auf unerlaubte zeichen prüft, oder noch besser: nur bestimmte zeichen zulässt wie a-z A-Z 0-9 und fertig. (probiert mal beim comunity login auf der pbp page n sonderzeichen einzugeben... da wird bereits validiert und ihr bekommt ne entsprechende meldung dass ihr müll eingegeben habt)
Weiterhin muss nur noch beachtet werden dass man vorher alles aufs gleiche encoding bekommt (utf8?) und schon is ruhe.
================ Unterm strich: Keine panik! das ist pbp und ein spiel und keine hochsensiblen bankdaten.
Die lücken dich ich, bis jetzt, gefunden hab sind in keinster Weise dazu gegeignet großen Schaden anzurichten und der schaden den man anrichten kann bezieht sich ausschließlich auf diese webseite und nicht auf die integrität euer privaten rechner.
Das Portal läuft zuverlässig und stabil. Es wurden nur ein paar Kleinigkeiten übersehen, was bei Projekten dieser größe einfach alltäglich ist.
-------------------------------------------------- I´m not here to make everybody happy. Understating, yet relentless. UFP. Wir sind die Guten!(tm) http://www.ufp.de.lv/
SOOO gravierend sind die bisher gefunden fehler nun auch nicht dass hier gleich weltuntergangsstimmung herschen muss.
Leider Gottes sind die Probleme doch groß genug, als das Val Haris den Server ohne Änderung übernehmen würde.
Aufgrund dieser Tatsache und des Punktes das derzeit unbekannt ist, ob und wann rhiow diesen abschaltet sehe ich mich derzeit gezwungen auf diesen zu verzichten ... leider wie ich zugeben muss.
Ok und wie wäre es wenn man den PBEM auf einem eigenen Server laufen lässt?
Hier haben schon Leute etwas angeboten.
-------------------------------------------------- I´m not here to make everybody happy. Understating, yet relentless. UFP. Wir sind die Guten!(tm) http://www.ufp.de.lv/
Bitte testet mal, ob alles funktioniert. Die Daten sind nicht aktuell und werden nach Ende der Testperiode gelöscht!
In ein paar Tagen wird es dann einen harten Umschalt-Termin geben. Bis dahin: alle laufenden Spiele auf rhiow's Server hochladen. Den Terdon nur für Tests verwenden Danach: ausschließlich terdon, rhiows Server wird dann abgeschaltet.
Ohje - ich habe das jetzt mal ausprobiert bei Etron. Habe den Spielstand eingeladen, alles hat bestens funktioniert, aber jetzt denkt die Runden-Auswertung im Forum wir wären erst bei Runde 1. Mmmm....aber ich glaube das ist nicht weiter schlimm. Wenn der nächste richtige Spielzug vom richtigen Server kommt, wird die Anzeige wieder richtig anzeigen ?
Zitat von ExcaliburJa - jetzt ist alles soweit wieder in Ordnung, aber jetzt fehlt das Symbol im Forum (aktuelle Runden) das Etron Server unterstützt wird.
Das liegt daran, das der Manuel gesetzt wurde. Beim nächsten umspringen der Runde ist auch das wieder da.
Gruß Shadow
------------------------------ Ein Ring sie zu knechten, sie alle zu finden, ins Dunkel zu treiben und ewig zu binden. ------------------------------ Und >Zack< hast du deine Basis erweitert, Sichtbereich auch (hat so der Spielleiter gesagt: Ziel ist...) (C) Hastrubal 2008!
-------------------------------------------------- I´m not here to make everybody happy. Understating, yet relentless. UFP. Wir sind die Guten!(tm) http://www.ufp.de.lv/
also ich hab grad bisschen auf dem terdon pbem rumprobiert. scheint alles bestens zu gehen. ich wurde auch sofort mit timeoutwarnungen zusammengeschossen ;)
ich vermute mal wir können (und müssen wohl) einfach umsteigen.
müssen eigentlich die user accounts dann neu erstellt werden?
-------------------------------------------------- I´m not here to make everybody happy. Understating, yet relentless. UFP. Wir sind die Guten!(tm) http://www.ufp.de.lv/
Dies ist eine Erinnerung für einen Ihrer PBP Planeten: Spiel: Ocean Z069 Runde: 1 Ihr Zug begann am: Sun, 28 Dec 2008 20:53:56 UTC Verstrichene Zeit: 9 d 19 hours 36 minutes 17 seconds Erlaubte Zeit für Ihren Zug: 1 d 0 hours 0 minutes 0 seconds
Die Erinnerung kam noch von Rhiows Server. Hat da wer dran rumgepfuscht? ;)
--------------------------------------------------------------------------------------------------- Mögen die Nurien Euch gnädig sein.
Mit dem Dump kommen alle Passwörter,User und Spiele rüber.
Spielstände müssten dann noch extra geschaufelt werden.
Der Neue Server wird aber zurückgesetzt bevor das Dump vom alten eingespielt wird! Also wer jetzt auf dem Neuen was anlegt nicht wundern wenn es am Wochenende weg ist dafür dann aber alles andere vom alten da ist (bis auf die Spielstände vielleicht).
Rhiows Server hat nicht die Emailadresse pbemserver@asc-hq.org - also wenn die Meldung von dort kam dann ignorieren.
also in deinem aktuellen Bild ist Spieler 3 Setupman und sein Vertreter Nobear. Damit hat Setupman einen Vertreter!
Sonst musst du nix ändern. Du könntest jetzt noch einen Vertreter für den Vertreter einstellen (das letzte Niemand in der Zeile)
Gruß Shadow
------------------------------ Ein Ring sie zu knechten, sie alle zu finden, ins Dunkel zu treiben und ewig zu binden. ------------------------------ Und >Zack< hast du deine Basis erweitert, Sichtbereich auch (hat so der Spielleiter gesagt: Ziel ist...) (C) Hastrubal 2008!