Sie sind vermutlich noch nicht im Forum angemeldet - Klicken Sie hier um sich kostenlos anzumelden Impressum 
Das Forum ist read-only und nur noch zu Archivzwecken vorhanden. Neue Benutzer werden nicht mehr freigeschalten. Benutzt bitte unser aktuelles Forum: http://www.battle-planet.de/pbp/main/forum_neu.php
Sie können sich hier anmelden
Dieses Thema hat 229 Antworten
und wurde 7.173 mal aufgerufen
 PBEM
Seiten 1 | ... 6 | 7 | 8 | 9 | 10 | 11 | 12
ValHaris Offline




Beiträge: 386

31.12.2008 14:09
#201 RE: PBEM-Test für PBP! Antworten

Nächste Woche werde ich mir den Code mal anschauen.
Ich möchte den PBEM-Server noch so lange weiterbetreiben, bis eine vollständig in Hanni's PBP-Website integrierte Fassung zur Verfügung steht.

Lestat Offline



Beiträge: 51

31.12.2008 15:33
#202 RE: PBEM-Test für PBP! Antworten
So, immer mit der Ruhe!

SOOO gravierend sind die bisher gefunden fehler nun auch nicht dass hier gleich weltuntergangsstimmung herschen muss.
Mit den gefunden Problemen muss sich jeder webmaster derzeit rumschlagen.

Es handelt sich um eine XSS (Cross site scripting) attacke welche durch ungeprüfte nutzereingaben zustande kommt.

Bei der einfacheren variante müsstet ihr einen manipulierten link aufrufen um opfer zu werden, was hier so gut wie ausgeschlossen werden kann.

Als schutz einfach nicht auf links klicken die seltsam aussehen und viele sonderzeichen enthalten wie z.b.:

Aufgrund eines datenbankproblems würden wir sie bitten folgenden link aufzurufen um ihr profil zu retten:
http://transcendent-illusions.de/asc/ind...,32,88,83,83,33)

(nein das ist kein funktionierender exploit den ich hier öffentlich poste, wer wissen will wies geht -> google)

Das gilt im übrigen für ALLE links im netz. Nicht nur für PBP

Variante 2 der möglichen angriffe auf das portal war persistent XSS was n stück weit gefärhlicher ist da ich keinen link mehr brauche.

Bei beiden lücken ist es somit möglich euch gefälschte seiten unter zu jubeln und euere logindaten zu stehlen.
Dies betrifft aber nur die PBP website. (voraussgestzt ihr habt n vernüftigen browser mit anständigem sicherheitskonzept, welcher die Seiten und tabs gegeneinander abschrimt: Also Firefox und Opera. IE schon mal nicht, ebensowenig chrome und über safari kann ich keine aussage machen)


Die lösung des Problem ist trivial und simpel:
ALLES was in irgendweiner form an eingaben vom nutzerseite her kommt (alle requestparameter ob per Post oder GET) einfach validieren. Sprich n regex drauf los lassen der auf unerlaubte zeichen prüft, oder noch besser: nur bestimmte zeichen zulässt wie a-z A-Z 0-9 und fertig.
(probiert mal beim comunity login auf der pbp page n sonderzeichen einzugeben... da wird bereits validiert und ihr bekommt ne entsprechende meldung dass ihr müll eingegeben habt)

Weiterhin muss nur noch beachtet werden dass man vorher alles aufs gleiche encoding bekommt (utf8?) und schon is ruhe.


================
Unterm strich:
Keine panik! das ist pbp und ein spiel und keine hochsensiblen bankdaten.

Die lücken dich ich, bis jetzt, gefunden hab sind in keinster Weise dazu gegeignet großen Schaden anzurichten und der schaden den man anrichten kann bezieht sich ausschließlich auf diese webseite und nicht auf die integrität euer privaten rechner.

Das Portal läuft zuverlässig und stabil. Es wurden nur ein paar Kleinigkeiten übersehen, was bei Projekten dieser größe einfach alltäglich ist.
Prophet ( gelöscht )
Beiträge:

31.12.2008 15:41
#203 RE: PBEM-Test für PBP! Antworten

Danke für die ausführliche Info Lestat :)

--------------------------------------------------
I´m not here to make everybody happy.
Understating, yet relentless.
UFP. Wir sind die Guten!(tm) http://www.ufp.de.lv/

Hanni Offline


Agent Implementeur

Beiträge: 2.337

01.01.2009 18:52
#204 RE: PBEM-Test für PBP! Antworten

Zitat von Lestat
So, immer mit der Ruhe!

SOOO gravierend sind die bisher gefunden fehler nun auch nicht dass hier gleich weltuntergangsstimmung herschen muss.


Leider Gottes sind die Probleme doch groß genug, als das Val Haris den Server ohne Änderung übernehmen würde.

Aufgrund dieser Tatsache und des Punktes das derzeit unbekannt ist, ob und wann rhiow diesen abschaltet sehe ich mich derzeit gezwungen auf diesen zu verzichten ... leider wie ich zugeben muss.

Grüße,
Hanni

_________________
Was neu ist, dass hier jemand einen Proxy wie Shadow braucht, der dann auch gleich mal feste Öl ins Feuer gießt, und einen Sekundanten wie Rhiow, die das Fass gleich noch mit ausleeren hilft.
(© Prophet - 2008)
_________________
Rotkehlchen sind klein und süß, aber sie können auch fies und gemein sein, besonders zu Mistkäfern !!!

Prophet ( gelöscht )
Beiträge:

01.01.2009 19:06
#205 RE: PBEM-Test für PBP! Antworten
Ok und wie wäre es wenn man den PBEM auf einem eigenen Server laufen lässt?

Hier haben schon Leute etwas angeboten.

--------------------------------------------------
I´m not here to make everybody happy.
Understating, yet relentless.
UFP. Wir sind die Guten!(tm) http://www.ufp.de.lv/

Hanni Offline


Agent Implementeur

Beiträge: 2.337

01.01.2009 19:24
#206 RE: PBEM-Test für PBP! Antworten

Naja, Val Haris hat ja schon angedeutet wie es weitergehen könnte.

Grüße,
Hanni

_________________
Was neu ist, dass hier jemand einen Proxy wie Shadow braucht, der dann auch gleich mal feste Öl ins Feuer gießt, und einen Sekundanten wie Rhiow, die das Fass gleich noch mit ausleeren hilft.
(© Prophet - 2008)
_________________
Rotkehlchen sind klein und süß, aber sie können auch fies und gemein sein, besonders zu Mistkäfern !!!

Hanni Offline


Agent Implementeur

Beiträge: 2.337

03.01.2009 13:32
#207 RE: PBEM-Test für PBP! Antworten

Just 4 Info: aktuell sieht es so aus, das der PBEM nächstes Wochenende von Rhiow vom Netz genommen wird.

Grüße,
Hanni

_________________
Was neu ist, dass hier jemand einen Proxy wie Shadow braucht, der dann auch gleich mal feste Öl ins Feuer gießt, und einen Sekundanten wie Rhiow, die das Fass gleich noch mit ausleeren hilft.
(© Prophet - 2008)
_________________
Rotkehlchen sind klein und süß, aber sie können auch fies und gemein sein, besonders zu Mistkäfern !!!

ValHaris Offline




Beiträge: 386

06.01.2009 19:28
#208 RE: PBEM-Test für PBP! Antworten

Ich habe den pbem-Server jetzt aufgesetzt:

http://terdon.asc-hq.org/pbem

Bitte testet mal, ob alles funktioniert.
Die Daten sind nicht aktuell und werden nach Ende der Testperiode gelöscht!

In ein paar Tagen wird es dann einen harten Umschalt-Termin geben.
Bis dahin: alle laufenden Spiele auf rhiow's Server hochladen. Den Terdon nur für Tests verwenden
Danach: ausschließlich terdon, rhiows Server wird dann abgeschaltet.

Excalibur Offline




Beiträge: 1.317

06.01.2009 22:06
#209 RE: PBEM-Test für PBP! Antworten
Ohje - ich habe das jetzt mal ausprobiert bei Etron. Habe den Spielstand eingeladen, alles hat bestens funktioniert, aber jetzt denkt die Runden-Auswertung im Forum wir wären erst bei Runde 1.
Mmmm....aber ich glaube das ist nicht weiter schlimm. Wenn der nächste richtige Spielzug vom richtigen Server kommt, wird die Anzeige wieder richtig anzeigen ?
Sir Hacke Offline



Beiträge: 130

06.01.2009 22:39
#210 RE: PBEM-Test für PBP! Antworten

Zitat von Excalibur
Wenn der nächste richtige Spielzug vom richtigen Server kommt, wird die Anzeige wieder richtig anzeigen ?


Egal, habs korrigiert.

Hanni Offline


Agent Implementeur

Beiträge: 2.337

06.01.2009 22:41
#211 RE: PBEM-Test für PBP! Antworten

Zitat von Sir Hacke
Zitat von Excalibur
Wenn der nächste richtige Spielzug vom richtigen Server kommt, wird die Anzeige wieder richtig anzeigen ?


Egal, habs korrigiert.


Ja, das sollte mit dem nächstem richtigem korrigiert werden.

Grüße,
Hanni

_________________
Was neu ist, dass hier jemand einen Proxy wie Shadow braucht, der dann auch gleich mal feste Öl ins Feuer gießt, und einen Sekundanten wie Rhiow, die das Fass gleich noch mit ausleeren hilft.
(© Prophet - 2008)
_________________
Rotkehlchen sind klein und süß, aber sie können auch fies und gemein sein, besonders zu Mistkäfern !!!

Excalibur Offline




Beiträge: 1.317

06.01.2009 23:25
#212 RE: PBEM-Test für PBP! Antworten
Ja - jetzt ist alles soweit wieder in Ordnung, aber jetzt fehlt das Symbol im Forum (aktuelle Runden) das Etron Server unterstützt wird.
Shadow Offline




Beiträge: 1.322

06.01.2009 23:41
#213 RE: PBEM-Test für PBP! Antworten

Zitat von Excalibur
Ja - jetzt ist alles soweit wieder in Ordnung, aber jetzt fehlt das Symbol im Forum (aktuelle Runden) das Etron Server unterstützt wird.


Das liegt daran, das der Manuel gesetzt wurde. Beim nächsten umspringen der Runde ist auch das wieder da.

Gruß
Shadow

------------------------------
Ein Ring sie zu knechten, sie alle zu finden,
ins Dunkel zu treiben und ewig zu binden.
------------------------------
Und >Zack< hast du deine Basis erweitert, Sichtbereich auch (hat so der Spielleiter gesagt: Ziel ist...)
(C) Hastrubal 2008!

TheScarabeus Offline




Beiträge: 418

07.01.2009 02:22
#214 RE: PBEM-Test für PBP! Antworten

meine Fresse, wasn Chaos ;)

Mehr kann ich dazu nicht sagen *g*

Prophet ( gelöscht )
Beiträge:

07.01.2009 12:48
#215 RE: PBEM-Test für PBP! Antworten

also chaos ist was anderes find ich ;)

--------------------------------------------------
I´m not here to make everybody happy.
Understating, yet relentless.
UFP. Wir sind die Guten!(tm) http://www.ufp.de.lv/

Prophet ( gelöscht )
Beiträge:

07.01.2009 17:36
#216 RE: PBEM-Test für PBP! Antworten

also ich hab grad bisschen auf dem terdon pbem rumprobiert. scheint alles bestens zu gehen. ich wurde auch sofort mit timeoutwarnungen zusammengeschossen ;)

ich vermute mal wir können (und müssen wohl) einfach umsteigen.


müssen eigentlich die user accounts dann neu erstellt werden?

--------------------------------------------------
I´m not here to make everybody happy.
Understating, yet relentless.
UFP. Wir sind die Guten!(tm) http://www.ufp.de.lv/

Tarliesin Offline



Beiträge: 159

07.01.2009 19:16
#217 RE: PBEM-Test für PBP! Antworten

Dies ist eine Erinnerung für einen Ihrer PBP Planeten:
Spiel: Ocean Z069
Runde: 1
Ihr Zug begann am: Sun, 28 Dec 2008 20:53:56 UTC
Verstrichene Zeit: 9 d 19 hours 36 minutes 17 seconds
Erlaubte Zeit für Ihren Zug: 1 d 0 hours 0 minutes 0 seconds


Die Erinnerung kam noch von Rhiows Server. Hat da wer dran rumgepfuscht? ;)

---------------------------------------------------------------------------------------------------
Mögen die Nurien Euch gnädig sein.

Grom Offline




Beiträge: 1.069

07.01.2009 19:36
#218 RE: PBEM-Test für PBP! Antworten
Mit dem Dump kommen alle Passwörter,User und Spiele rüber.

Spielstände müssten dann noch extra geschaufelt werden.

Der Neue Server wird aber zurückgesetzt bevor das Dump vom alten eingespielt wird!
Also wer jetzt auf dem Neuen was anlegt nicht wundern wenn es am Wochenende weg ist dafür dann aber alles andere vom alten da ist (bis auf die Spielstände vielleicht).

Rhiows Server hat nicht die Emailadresse pbemserver@asc-hq.org - also wenn die Meldung von dort kam dann ignorieren.
Excalibur Offline




Beiträge: 1.317

13.01.2009 10:55
#219 RE: PBEM-Test für PBP! Antworten

Der neue PBEM Server scheint ja super zu funktionieren.

Auch das mit der Vertretung hat prima funktioniert.

Eine Frage:
Wenn ich als SV eine Vertretung eintragen will, was muss ich dann in der ersten Spalte eintragen.

a.) den Namen des bisherigen Spielers lassen ???
b.) den Namen in niemand umändern ???

Wie geht das ???

Angefügte Bilder:
PBEMSpielserverFrage.JPG  
Shadow Offline




Beiträge: 1.322

13.01.2009 10:59
#220 RE: PBEM-Test für PBP! Antworten

also in deinem aktuellen Bild ist Spieler 3 Setupman und sein Vertreter Nobear. Damit hat Setupman einen Vertreter!

Sonst musst du nix ändern. Du könntest jetzt noch einen Vertreter für den Vertreter einstellen (das letzte Niemand in der Zeile)

Gruß
Shadow

------------------------------
Ein Ring sie zu knechten, sie alle zu finden,
ins Dunkel zu treiben und ewig zu binden.
------------------------------
Und >Zack< hast du deine Basis erweitert, Sichtbereich auch (hat so der Spielleiter gesagt: Ziel ist...)
(C) Hastrubal 2008!

Seiten 1 | ... 6 | 7 | 8 | 9 | 10 | 11 | 12
 Sprung  
Xobor Einfach ein eigenes Forum erstellen | ©Xobor.de
Datenschutz