Achtung: Goldklau-Link
- Lauranthalas
- Feuervogel
- Beiträge: 5244
- Registriert: 25. Jan 2005, 23:11
Re: Achtung: Goldklau-Link
1.hättest du jemanden von den mods aufklären können, daß du was versuchen willst und es dann melden willst.
2. ist das längst bekannt, daß man mit blossen angucken von profilen einiges anstellen kann.
du hast niemanden eingeweiht und du weisst das jegliche links in fw verboten sind, welche etwas auslösen.
von selbst wegzaubern, bis clanaustrittlinks oder eben transferlinks. dabei ist es unerheblich, ob es nun 1 gold oder 400k gold sind, denn regelverstoss ist regelverstoss.
wer meint etwas gefunden zu haben oder einen bug aufdecken will, kann das auch mit den mods zusammen machen.
gruss laura
2. ist das längst bekannt, daß man mit blossen angucken von profilen einiges anstellen kann.
du hast niemanden eingeweiht und du weisst das jegliche links in fw verboten sind, welche etwas auslösen.
von selbst wegzaubern, bis clanaustrittlinks oder eben transferlinks. dabei ist es unerheblich, ob es nun 1 gold oder 400k gold sind, denn regelverstoss ist regelverstoss.
wer meint etwas gefunden zu haben oder einen bug aufdecken will, kann das auch mit den mods zusammen machen.
gruss laura
Re: Achtung: Goldklau-Link
auch solche Links, mit denen man andere in eine Gruppe einlädt? hab ich des öfteren in Profilen gesehen..Lauranthalas hat geschrieben: von selbst wegzaubern, bis clanaustrittlinks oder eben transferlinks. dabei ist es unerheblich, ob es nun 1 gold oder 400k gold sind, denn regelverstoss ist regelverstoss.
Re: Achtung: Goldklau-Link
Jopp Gruppeneinladungslinks sind verboten
Irgendwas ist immer
Blizz (Gruppentelepathie): und das steckenpferd.. ist ausdruck meines kranken Hirns xD
日本人は困難である学びます
Blizz (Gruppentelepathie): und das steckenpferd.. ist ausdruck meines kranken Hirns xD
日本人は困難である学びます
Re: Achtung: Goldklau-Link
mir fällt dazu ne Geschichte ein:
Es gab einmal einen Typ (Name egal) der einen Link gepostet hat, der einen ausm Clan schmeisst..Das schöne daran war, dass, nachdem ich es in den Support gesetzt habe..ich verwarnt wurde und es ärger mit nem Mod war
(Das ist schon ewig her..der Mod ist keiner mehr..ich werd wohl noch wissen was richtig und falsch ist oô)
Kurz und knackig..kann man sich davor schützen?
Es gab einmal einen Typ (Name egal) der einen Link gepostet hat, der einen ausm Clan schmeisst..Das schöne daran war, dass, nachdem ich es in den Support gesetzt habe..ich verwarnt wurde und es ärger mit nem Mod war
(Das ist schon ewig her..der Mod ist keiner mehr..ich werd wohl noch wissen was richtig und falsch ist oô)
Kurz und knackig..kann man sich davor schützen?
- Geist von Fool
- großer Laubbär
- Beiträge: 3277
- Registriert: 29. Mai 2007, 17:41
- Wohnort: Ruward, irgendeine Gruft halt.
- Kontaktdaten:
Re: Achtung: Goldklau-Link
Ja, aber man muss ein komplett paranoide aufgesetztes System haben - enfach lösbar isses wohl nicht. Gegen die Profilgeschichte kann man sich schützen, indem man Profile halt immer nur in einem zweiten Browser anguckt, in dem man nicht in FW eingelogt ist. Absoluten Schutz bietet das aber auch nicht.
Re: Achtung: Goldklau-Link
Nein, das kann wirklich nicht die einzige Lösung sein, außerdem reicht es bereits wenn z.B. jemand einen manipulierten Ehering hochhält um allen Usern auf dem Feld ordentlich Gold abzuknöpfen.
Die einzige mögliche Sicherung würde darin bestehen das die Mods vor blindem bannen erst einmal in Erfahrung bringen wie der Bug überhaupt funktioniert, andernfalls ist damit zu rechnen das der Bug sich verbreitet was für gewöhnlich wesentlich mehr Arbeit bedeutet.
In diversen Welten haben gestern eine Reihe von Usern jeweils ein paar k gm durch diese Sicherheitslücke verloren.
Wieso? Dieser Bug ist neu. Die Mods kennen ihn zum größten Teil noch nicht. Und die User auch nicht.
Wo ich gerade dabei bin hier der Bug selber:
[ DEL - Ando - Wenn möglich im Support genau schildern, Anleitung zum Reproduzieren rausgenommen ]
Die einzige mögliche Sicherung würde darin bestehen das die Mods vor blindem bannen erst einmal in Erfahrung bringen wie der Bug überhaupt funktioniert, andernfalls ist damit zu rechnen das der Bug sich verbreitet was für gewöhnlich wesentlich mehr Arbeit bedeutet.
In diversen Welten haben gestern eine Reihe von Usern jeweils ein paar k gm durch diese Sicherheitslücke verloren.
Wieso? Dieser Bug ist neu. Die Mods kennen ihn zum größten Teil noch nicht. Und die User auch nicht.
Wo ich gerade dabei bin hier der Bug selber:
[ DEL - Ando - Wenn möglich im Support genau schildern, Anleitung zum Reproduzieren rausgenommen ]
- insanus
- Klauenbartrein
- Beiträge: 1568
- Registriert: 9. Mär 2006, 15:53
- Wohnort: outgame: Berlin; ingame: W4 (und nur W4... ;))
- Kontaktdaten:
Re: Achtung: Goldklau-Link
Wenn du zu weit reichenden Überlegungen fähig bist frage ich mich ob es absichtliche Provokation oder doch etwas anderes ist, dass du die Bugs zu nutzen bis auf ein winziges Detail genau anleitest. Es ist ja schön, dass es dir auffällt, welche Sicherheitslücken wie zu umgehen sind und sie meldest - aber wenn es so präzise ausfällt oder ausfallen muss (weil es nur eine kleine Lücke ist) und Missbrauchsgefahr seitens der User besteht möchte ich dir doch sehr ans Herz legen, dich direkt mittels Ticket an den Support zu wenden um den Bug zu melden.
Wenn du einen Bug noch einmal testen willst um einen Irrtum deinerseits auszuschließen oder andere Formen (wie z. B. zwei Filter, die zusammen umgangen werden müssen) zu testen solltest du dich vorher an einen Mod wenden (wie bereits erwähnt).
Jedoch öffentlich lang und breit zu erklären, wie man einen Bug ausnutzt ist sicher der falsche Weg!!
Wenn du einen Bug noch einmal testen willst um einen Irrtum deinerseits auszuschließen oder andere Formen (wie z. B. zwei Filter, die zusammen umgangen werden müssen) zu testen solltest du dich vorher an einen Mod wenden (wie bereits erwähnt).
Jedoch öffentlich lang und breit zu erklären, wie man einen Bug ausnutzt ist sicher der falsche Weg!!
Ich würde nie einem Clan beitreten, der Leute wie mich als Mitglied aufnimmt.
Mensch/Arbeiter, ausschließlich in W4 aktiv. Profil
Das oben stehende Posting ist frei erfunden. Jede Übereinstimmung mit real existierenden Argumenten ist rein zufällig.
Mensch/Arbeiter, ausschließlich in W4 aktiv. Profil
Das oben stehende Posting ist frei erfunden. Jede Übereinstimmung mit real existierenden Argumenten ist rein zufällig.
- Geist von Fool
- großer Laubbär
- Beiträge: 3277
- Registriert: 29. Mai 2007, 17:41
- Wohnort: Ruward, irgendeine Gruft halt.
- Kontaktdaten:
Re: Achtung: Goldklau-Link
Der Bug ist bekannt, schon seit langem, und es hat einen Grund, warum erst in den letzten Tagen alle möglichen Trittbrettfahrer, die von alleine nicht drauf gekommen wären, ihn nun ausnutzen: rücksichtslose aufmerksamkeitsgeile Angeber, die meinen, hier im Forum eine möglichst genau Anleitung liefern zu müssen. Wer auch nur mit einer halben Gehirnzelle drüber nachdenkt was er macht, meldet solche Geschichten über ein Support-Ticket und erwähnt die Durchführbarkeit allerhöchstens allgemein... und bei einer entsprechenden Anfrage VOR dem Testen bei einem Mod hätte man dann evtl. auch erfahren, dass die Geschichte absolut nicht neu ist. Oder auch nicht, aber solche Bugs gehören auch nicht mehr in den Aufgabenbereich von Moderatoren (schon allein, weil diese außer Bannen entsprechender Accounts, was hier ja zum Glück auch passiert ist, nichts unternehmen können).
- BassDriver6000
- Feuerwolf
- Beiträge: 78
- Registriert: 7. Mai 2007, 22:51
Re: Achtung: Goldklau-Link
Ich nehme auch einmal Stellungnahme dazu. So wie ich es sehe, läuft Freewar mit GET, anstatt mit POST. Selbst, wenn es mit Frames verdeckt wird, sieht man es immer noch unten in der Leiste. Es wäre erheblich sicherer, wenn du POST anstatt GET verwenden würdest. Und mir ist auch bewusst, dass du dann auch etliche Zeilen Code ändern müsstest, aber wenn dir das Spiel wichtig ist(was es dir auch ist, merkt man ja(im Positiven gemeint(achja, ich liebe Klammern! xD))), dann machst du dies auch.
Im Klartext: GET weg, POST her.
MfG Dark Guild
Das liebe nette Wikipedia hat geschrieben: HTTP-Request-Methoden
* GET ist die gebräuchlichste Methode. Mit ihr werden Inhalte vom Server angefordert.
* POST ähnelt der GET-Methode, nur dass ein zusätzlicher Datenblock übermittelt wird. Dieser besteht üblicherweise aus Name-Wert-Paaren, die aus einem HTML-Formular stammen. Grundsätzlich können Daten auch mittels GET übertragen werden (als Argumente im URI), aber die Übertragung der Argumente erfolgt bei POST diskret (wichtig bei sensiblen Daten), und die zulässige Datenmenge ist deutlich größer.
* HEAD weist den Server an, die gleichen HTTP-Header wie ein GET oder POST, nicht jedoch den eigentlichen Dokumentinhalt selbst zu senden. So kann zum Beispiel schnell die Gültigkeit einer Datei im Browsercache geprüft werden.
* PUT dient dazu, Dateien unter Angabe des Ziel-URIs auf einen Webserver hochzuladen. Heute kaum noch implementiert (vergl. dazu WebDAV), war es in der Anfangszeit des WWW eine tatsächlich genutzte Möglichkeit.
* DELETE löscht die angegebene Datei auf dem Server. Dies ist heutzutage ebenso wie der PUT-Befehl kaum noch implementiert bzw. in der Standardkonfiguration aktueller Webserver abgeschaltet.
* TRACE liefert die Anfrage so zurück, wie der Server sie empfangen hat. So kann überprüft werden, ob und wie die Anfrage auf dem Weg zum Server verändert worden ist - sinnvoll für das Debugging von Verbindungen.
* OPTIONS liefert eine Liste der vom Server unterstützen Methoden und Features.
* CONNECT wird von Proxyservern implementiert, die in der Lage sind, SSL-Tunnel zur Verfügung zu stellen.
Ist für diejenigen, die Unwissend sind .Nochmal das liebe nette Wiki hat geschrieben: HTTP GET [Bearbeiten]
Hier wird zur Übertragung von Daten der sogenannte ”Anfrage-Teil”œ des Uniform Resource Identifiers, der mit dem Zeichen ? beginnt, genutzt.
Oft wird diese Vorgehensweise gewählt, um eine Liste von Parametern zu übertragen, die die Gegenstelle bei der Bearbeitung einer Anfrage berücksichtigen soll. Häufig besteht diese Liste aus mit dem Zeichen & getrennten Wertepaaren, die je aus einem Parameternamen, dem Zeichen = und dem Wert des Parameters bestehen. Seltener wird das Zeichen ; zur Trennung von Einträgen der Liste benutzt.[1]
Ein Beispiel: Auf der Startseite von Wikipedia wird in das Eingabefeld der Suche ”Katzen”œ eingegeben und auf die Schaltfläche ”Artikel”œ geklickt. Der Browser sendet folgende oder ähnliche Anfrage an den Server:
GET /wiki/Spezial:Search?search=Katzen&go=Artikel HTTP/1.1
Host: de.wikipedia.org
”¦
Dem Wikipedia-Server werden zwei Wertepaare übergeben:
Argument Wert
search Katzen
go Artikel
Diese Wertepaare werden in der Form
Argument1=Wert1&Argument2=Wert2
mit ? an die geforderte Seite angehängt.
Dadurch ”weiß”œ der Server, dass der Nutzer den Artikel Katzen betrachten will. Der Server verarbeitet die Anfrage, sendet aber keine Datei, sondern leitet den Browser mit einem Location-Header zur richtigen Seite weiter, etwa mit:
HTTP/1.0 302 Moved Temporarily
Date: Fri, 13 Jan 2006 15:12:44 GMT
Location: http://de.wikipedia.org/wiki/Katzen
”¦
Der Browser befolgt diese Anweisung und sendet aufgrund der neuen Informationen eine neue Anfrage, etwa:
GET /wiki/Katzen HTTP/1.1
Host: de.wikipedia.org
”¦
Und der Server antwortet und gibt den Artikel Katzen aus, etwa:
HTTP/1.0 200 OK
Date: Fri, 13 Jan 2006 15:12:48 GMT
Last-Modified: Tue, 10 Jan 2006 11:18:20 GMT
Content-Language: de
Content-Encoding: gzip
Content-Type: text/html; charset=utf-8
.”¹”¦”¦.\ZKs.¹.>Û¿.ž-[¶KÃ!õ²ÌÇlô²Â“uVò*ÉÖ-
3.r`ÃŽ+.F”xÊ!ÿ ×.ý.ö\7ý”œü”™t.ó"9ÔÊ”ºÄ®.A.ÃÃ
”¦
Der Datenteil ist natürlich viel länger, wird hier jedoch ausgelassen, da nur das Protokoll betrachtet wird. (Er ist hier aufgrund der im Beispiel genutzten gzip-Komprimierung ohnehin unlesbar.)
HTTP POST [Bearbeiten]
Im folgenden Beispiel wird wieder der Artikel Katzen angefordert, doch diesmal verwendet der Browser aufgrund eines modifizierten HTML-Codes (method="POST") eine POST-Anfrage. Die Variablen stehen dabei nicht in der URI, sondern gesondert im Body-Teil, etwa:
POST /wiki/Spezial:Search HTTP/1.1
Host: de.wikipedia.org
Content-Type: application/x-www-form-urlencoded
Content-Length: 24
search=Katzen&go=Artikel
Auch das versteht der Server und antwortet wieder mit beispielsweise Folgendem:
HTTP/1.0 302 Moved Temporarily
Date: Fri, 13 Jan 2006 15:32:43 GMT
Location: http://de.wikipedia.org/wiki/Katzen
”¦
Im Klartext: GET weg, POST her.
MfG Dark Guild
- halbleiter
- Feuerwolf
- Beiträge: 67
- Registriert: 22. Feb 2007, 21:38
Re: Achtung: Goldklau-Link
Die Unwissenden verstehen nachher sicher nicht viel mehr ...
Aber kann mir auch grad nicht erklären, wie alleine durch das Hochhalten eines manipulierten Eheringes Geldabknöpfen möglich sein soll.
Krasse Sache.
Gruss
Aber kann mir auch grad nicht erklären, wie alleine durch das Hochhalten eines manipulierten Eheringes Geldabknöpfen möglich sein soll.
Krasse Sache.
Gruss
Re: Achtung: Goldklau-Link
Also, es ist einfach so, dass man nicht überall POST benutzen kann, weil man ja dafür -wie du auch gesagt hast- ein Formular benötigt. Jetzt guck dir die paar Sachen doch mal an. Willst du da überall ein Formular hinquetschen? Und bei em Goldgeben wird doch auch POST benutzt. So wie ich das sehe ist das voll ausgenutzt Und POST ist auch manipulierbar, zwar nicht so leicht, aber wers möchte Eine einfache Umfrage z.B. kann per <input type="hidden" name="bla" value="bla2" /> dir auch Geld übertragen....
lg
lg
- BassDriver6000
- Feuerwolf
- Beiträge: 78
- Registriert: 7. Mai 2007, 22:51
Re: Achtung: Goldklau-Link
Pfiffi, da steht aber:
Dieser besteht üblicherweise aus Name-Wert-Paaren, die aus einem HTML-Formular stammen [...]
Das heißt es muss nicht aus einem HTML-Formular stammen, wird es aber oft
Was ich eigentlich mit dem Posting bewirken wollte, ist ganz einfach das Freewar sicherer wird.
Dieser besteht üblicherweise aus Name-Wert-Paaren, die aus einem HTML-Formular stammen [...]
Das heißt es muss nicht aus einem HTML-Formular stammen, wird es aber oft
Was ich eigentlich mit dem Posting bewirken wollte, ist ganz einfach das Freewar sicherer wird.
-
- Zauberer der Bergwiesen
- Beiträge: 524
- Registriert: 4. Jan 2007, 16:09
Re: Achtung: Goldklau-Link
Wie ist das eig. mit Fremdlinks an der alten Eiche?
Re: Achtung: Goldklau-Link
in w6 werden die von den mods entfernt.
¤´¨) =^.^=
¸.•´¸.•*´¨) ¸.•*¨)
(¸.•´ (¸.•`Hauptwelt: W6 ... >> VeganArtworks | Foodblog <<
~ Katarina Du Couteau ~
¸.•´¸.•*´¨) ¸.•*¨)
(¸.•´ (¸.•`Hauptwelt: W6 ... >> VeganArtworks | Foodblog <<
~ Katarina Du Couteau ~
Re: Achtung: Goldklau-Link
Hmm, den Bug hatte ich doch schon vor 8 Monaten gemeldet
Und ja über die POST-Methode ist das Problem mit den Umleitungen lösbar, aber nur zum Teil, da man selbst diese Ausnutzen kann. Selbiges hatte ich entsprechend vor 8 Monaten ebenfalls gezeigt. Das Problem komplett zu beseitigen ist nicht ganz trivial.
Gruß damh
Und ja über die POST-Methode ist das Problem mit den Umleitungen lösbar, aber nur zum Teil, da man selbst diese Ausnutzen kann. Selbiges hatte ich entsprechend vor 8 Monaten ebenfalls gezeigt. Das Problem komplett zu beseitigen ist nicht ganz trivial.
Gruß damh
Glück ist das Maß, in dem ich zulasse, dass meine Bedürfnisse erfüllt werden können.
=> Wer glücklich sein will, muss wissen, was er braucht.
=> Wer weiß, was er braucht, kann beobachten, wer oder was ihm im Weg steht. Man ist es fast immer selbst.
=> Wer glücklich sein will, muss wissen, was er braucht.
=> Wer weiß, was er braucht, kann beobachten, wer oder was ihm im Weg steht. Man ist es fast immer selbst.
Wer ist online?
Mitglieder in diesem Forum: iceman128 und 11 Gäste