Zurück   klamm-Forum > klamm.de > klamm talk > Verbesserungsvorschläge

Antwort
 
LinkBack Themen-Optionen Ansicht
Alt 25.07.2006, 21:13:48   #1 (permalink)
Woohooo!
Benutzerbild von chrissel

ID: 211634
Lose-Remote

chrissel eine Nachricht über ICQ schicken
Reg: 20.04.2006
Beiträge: 4.495
Frage ExportForce verbesserungsvorschlag

ich möchte auch mal was vorschlagen...
ich würde es gut finden wenn man per EF das losepasswort auslesen kann, natürlich wird das passwort dann verschlüsselt sein(verschlüsslung sollte bekannt sein)
wenn nämlich sich jemand anmeldet und man nen accountcheck per EF macht kostet das ja anfragen, wenn der user jetzt andauernd ein falsches losepasswort z.b. eingibt kostet das ein haufen anfragen. könnte man das verschlüsselte losepasswort auslesen dann muss man nur einmal das LP auslesen und dann andauernd vergleichen!
ich weiß zwar nicht ob andere klammuser dieses bräuchten, aber mich würds freuen wenn es sowas geben würde

PS: macht mal bitte wieder im forum ne ExportForce kategorie! (oda habe ich sie übersehen)

Geändert von chrissel (25.07.2006 um 21:23:06 Uhr)
chrissel ist offline   Mit Zitat antworten
Alt 25.07.2006, 21:18:49   #2 (permalink)
Administratorin
Benutzerbild von Mone

ID: 969
Lose-Remote

Reg: 20.04.2006
Beiträge: 26.547
Standard

Bist du sicher, dass du das EF-Prinzip verstanden hast ?
.
Mone ist offline   Mit Zitat antworten
Alt 25.07.2006, 21:21:34   #3 (permalink)
www.lose-leihen.de
Benutzerbild von birdman01

ID: 46111
Lose-Remote

birdman01 eine Nachricht über ICQ schicken birdman01 eine Nachricht über MSN schicken birdman01 eine Nachricht über Skype™ schicken
Reg: 20.04.2006
Beiträge: 12.500
Standard

noch was: Es heißt ExportForce. Es kommt vom exportieren

Kredite bis zu 10.000.000 Lose - Zinssatz ab 0,3%/Tag - Laufzeit von bis zu 90 Tage
:~:~: www.lose-leihen.de :~:~:


birdman01 ist offline   Mit Zitat antworten
Alt 25.07.2006, 21:22:08   #4 (permalink)
Woohooo!
Benutzerbild von chrissel

ID: 211634
Lose-Remote

chrissel eine Nachricht über ICQ schicken
Reg: 20.04.2006
Beiträge: 4.495
Standard

öhm, nö^^
ich zahle damit nur lose aus oder ziehe welche ein
userchecks mache ich auch

edit: habe is in ExportForce umgeändert, thx birdman01 für den hinweis
chrissel ist offline Threadstarter   Mit Zitat antworten
Alt 25.07.2006, 21:24:28   #5 (permalink)
Administratorin
Benutzerbild von Mone

ID: 969
Lose-Remote

Reg: 20.04.2006
Beiträge: 26.547
Standard

Das Losepasswort ist dafür da, dass Lose nur abgenbucht werden, wenn das richtige Passwort bei der EF-Abfrage mitgeschickt wird. Wenn das Losepasswort per EF geholt werden kann, ist das ziemlich unsinnig.

Abgesehen davon, dass ein User das Losepasswort ändern kann (und auch oft tun sollte).
.
Mone ist offline   Mit Zitat antworten
Alt 25.07.2006, 21:27:16   #6 (permalink)
Woohooo!
Benutzerbild von chrissel

ID: 211634
Lose-Remote

chrissel eine Nachricht über ICQ schicken
Reg: 20.04.2006
Beiträge: 4.495
Standard

stimmt, also wird das wohl nix
auch nicht schlimm
chrissel ist offline Threadstarter   Mit Zitat antworten
Alt 30.07.2006, 16:37:16   #7 (permalink)
Erfahrener Benutzer

ID: 217591
Lose-Remote

Aradiv eine Nachricht über ICQ schicken Aradiv eine Nachricht über MSN schicken
Reg: 20.04.2006
Beiträge: 1.683
Standard

Ich hätte dembezüglich trotzdem eine Idee.

Der md5hash des Passworts wird auslesbar gemacht. mithilfe des md5 hash würde sich dann auf der Seite eine abfrage realisieren lassen die überprüft ob das Passwort stimmt und das mit nur einer Abfrage.
Das Sbgehohlte Passwort wird dann in einer Sessionvariablen gespeichert.

Momentan ist es theoretisch möglich 10.000 mal zu versuchen sich anzumeleden. Dabei wird das Losepasswort abgefragt, die Abfrage ergibt das das Passwort nicht stimmt und das ganze geht von vorne los. So lange bis der Betreiber keine EF-Anfragen mehr hat.

Wie ihr seht wäre das ganze auch eine Art Verbraucherschutz


Zur erklärung für alle unwissenden md5 ist eine nichtzurückrechenbare Verschlüsselungsvariante. Also selbst wenn jemand den md5hash eures Passworts haben sollte so ist er immernochnicht im Besitz eures Passwort.

hier mal ein Beispiel für md5.
Zitat:
Zitat von md5hash
7fc56270e7a70fa81a5935b72eacbe29 - A
515322af1eb924f2a4cee609d1f39bfa -- Au
63f77af3d2986c3112cd081049efcc50 -- Aut
06b9281e396db002010bde1de57262eb - Auto
8b1f1e8c6f406c3a224d03498e7f45a9 -- Autob
8c449959572d7b688ba2ad9f4d00b517 - Autoba
b735091543b3873bb24f607e1e5f5329 -- Autobah
a1082e570aada77666085196f13818f6 -- Autobahn
und wer mir nicht glaubt das es mit dem md5hash nahezu unmöglich ist das passwort herauszufinden der kann sich ja mal hierdran versuchen

a191567c739bcd6d444544af31083c74

mfg
Aradiv
 
Aradiv ist offline   Mit Zitat antworten
Alt 30.07.2006, 16:45:08   #8 (permalink)
Administratorin
Benutzerbild von Mone

ID: 969
Lose-Remote

Reg: 20.04.2006
Beiträge: 26.547
Standard

Zitat:
Zitat von Aradiv
Der md5hash des Passworts wird auslesbar gemacht. mithilfe des md5 hash würde sich dann auf der Seite eine abfrage realisieren lassen die überprüft ob das Passwort stimmt und das mit nur einer Abfrage.
Versteh ich nicht.

Es gibt
validate.php 1 Abfrage, um zu prüfen, ob ein Losepasswort stimmt
saldo.php 1 Abfrage, ob das Losepasswort stimmt und wie der Losestand ist
get.php 1 Abfrage, ob das Losepasswort stimmt und gleichzeitig Einziehen von Losen
send.php 1 Abfrage, ob das Losepasswort stimmt und Lose verschicken

Also was willst du denn noch?

Zitat:
Zitat von Aradiv
Das Sbgehohlte Passwort wird dann in einer Sessionvariablen gespeichert.
Und wenn der User zwischendurch das Losepasswort ändert, wird das nicht bemerkt. Das wäre eine große Sicherheitslücke.
.
Mone ist offline   Mit Zitat antworten
Alt 30.07.2006, 16:47:48   #9 (permalink)
ohne Vertrauen
Benutzerbild von Bububoomt

ID: 10361
Lose-Remote
Krank

Bububoomt eine Nachricht über ICQ schicken
Reg: 28.04.2006
Beiträge: 19.535
Standard

Zitat:
Zitat von Aradiv
und wer mir nicht glaubt das es mit dem md5hash nahezu unmöglich ist das passwort herauszufinden der kann sich ja mal hierdran versuchen

a191567c739bcd6d444544af31083c74

mfg
Aradiv
Genau an dem fettgedruckten ist der Springende Punkt.

nahzu unmöglich heißt nicht unmöglich!!!

Es gibt schon viele Hastabellen, wo man nach dem passenden Wort des Hashes suchen kann


*edit*

Zitat:
Zitat von Mone
Versteh ich nicht.
Nun er spielt darauf an, das ein User/Faker dem Webmaster schaden kann indem er immer wieder fehlerhafte anfragen macht. Kostet ja dann eine Ef-abfrage. (Andere Seiten haben es so das nur korrekte anfragen bezahlt werden müssen)


Müßte der Webmaster halt eine IPsperre, Maximal Versuche einstellen...
Oder halt eine Gebühr bei x fehlern nehmen...
Bububoomt ist offline   Mit Zitat antworten
Alt 30.07.2006, 17:01:17   #10 (permalink)
Lose 2.0 –
das zweite Zeitalter
Benutzerbild von theHacker

ID: 69505
Lose-Remote

theHacker eine Nachricht über ICQ schicken theHacker eine Nachricht über Skype™ schicken
Reg: 20.04.2006
Beiträge: 22.650
Standard

Zitat:
Zitat von Bububoomt
Müßte der Webmaster halt eine IPsperre, Maximal Versuche einstellen...
Oder halt eine Gebühr bei x fehlern nehmen...
Aber da sind die Webmaster zu faul dazu und wollen lieber klamm die Drecksarbeit machen lassen
NEU OpenIsles - das freie Insel-Aufbauspiel NEU

www.theHacker.ws v3 | WhatPulse-Team
Bezahlte Startseite
- mehr Verdienst als auf klamm - viele Auszahlungen erhalten
theHacker ist offline   Mit Zitat antworten
Alt 30.07.2006, 17:07:43   #11 (permalink)
ohne Vertrauen
Benutzerbild von Bububoomt

ID: 10361
Lose-Remote
Krank

Bububoomt eine Nachricht über ICQ schicken
Reg: 28.04.2006
Beiträge: 19.535
Standard

Ja ich habs auch noch nicht drin, aber beschwere mcih net. bin am überlegen wie ich das umsetze, also ob ich ne Gebühr nehme, wenn man zum xten male das PW falsch eingegeben hat...
Bububoomt ist offline   Mit Zitat antworten
Alt 30.07.2006, 17:11:12   #12 (permalink)
Lose 2.0 –
das zweite Zeitalter
Benutzerbild von theHacker

ID: 69505
Lose-Remote

theHacker eine Nachricht über ICQ schicken theHacker eine Nachricht über Skype™ schicken
Reg: 20.04.2006
Beiträge: 22.650
Standard

Zitat:
Zitat von Bububoomt
bin am überlegen wie ich das umsetze, also ob ich ne Gebühr nehme, wenn man zum xten male das PW falsch eingegeben hat...
Is quatsch
Wenn ich dir Stress machen will, POST ich dir das Anmeldeformular, wo sicherlich auch nach dem Lose-PW gefragt wird, im Sekundentakt.

Effektiv is nur n IP-basierender Flood-Schutz. Der Rest is User-Abzocke.
NEU OpenIsles - das freie Insel-Aufbauspiel NEU

www.theHacker.ws v3 | WhatPulse-Team
Bezahlte Startseite
- mehr Verdienst als auf klamm - viele Auszahlungen erhalten
theHacker ist offline   Mit Zitat antworten
Alt 30.07.2006, 17:20:07   #13 (permalink)
ohne Vertrauen
Benutzerbild von Bububoomt

ID: 10361
Lose-Remote
Krank

Bububoomt eine Nachricht über ICQ schicken
Reg: 28.04.2006
Beiträge: 19.535
Standard

Ja nee, ich würde ja ne IP-Sperre drin haben.

Also meine Idee:

Ip xyz versucht es zum 5 mal
x minuten sperre
dannach das selbe
xy sperre
beim dreitten *5 Versuche komplette sprerre bis user sich meldet etc....


User versucht es mit der IP xyz 5 mal und dann klappt es, hier meine Überlegung
Ziehe ich ihm eine Gebühr für dummheit ab!?


Ich sehe es nicht ein, das ich 5 Abfragen zahle, weil der Uer zu blöd ist sein PW einzugeben, bzw der Uer sein nick eingibt und nicht die Klamm-iD, obwohl es dort extra steht, auch bei der Fehlermeldung...

Meinst das ist User abzocke??
Und das ist nciht die seltenheit, vorallem kriege ich immer wieder mails,

"das geht nicht, bekomme die und die meldung..."

Komisch das hunderte andere es schaffen...
Bububoomt ist offline   Mit Zitat antworten
Alt 30.07.2006, 17:37:12   #14 (permalink)
Lose 2.0 –
das zweite Zeitalter
Benutzerbild von theHacker

ID: 69505
Lose-Remote

theHacker eine Nachricht über ICQ schicken theHacker eine Nachricht über Skype™ schicken
Reg: 20.04.2006
Beiträge: 22.650
Standard

Zitat:
Zitat von Bububoomt
beim dreitten *5 Versuche komplette sprerre bis user sich meldet etc....
Das is klasse. Ich kann ohne mich überhaupt anzumelden, beliebige User auf deiner Seite sperren:
Ich tu einfach 3x (neue IP holen und danach 5x Formular abschicken) und schon is der User gesperrt. Klasse, das wird ein Spaß
NEU OpenIsles - das freie Insel-Aufbauspiel NEU

www.theHacker.ws v3 | WhatPulse-Team
Bezahlte Startseite
- mehr Verdienst als auf klamm - viele Auszahlungen erhalten
theHacker ist offline   Mit Zitat antworten
Alt 30.07.2006, 23:36:12   #15 (permalink)
be forever curious
Benutzerbild von tleilax

ID: 27936
Lose-Remote

Reg: 20.04.2006
Beiträge: 2.423
Standard

Nur mal so am Rande:

Wieso wollt Ihr die Sperre IP-basiert machen? Ich würde das Account-bezogen machen. User gibt das Passwort 3x falsch ein und sein Account wird für Logins für 15 Minuten gesperrt. Gibt er danach sein Passwort wieder einmal falsch ein, wird der Account für 30 Minuten gesperrt und so weiter. Ist einfach umzusetzen und recht effektiv. So umgeht man zuviele Abfragen und Bruteforce-Versuche.

Wenn's nur darum geht, zu verhindern, dass ein User zuviele EF-Abfragen verbraucht oder diese gar mutwillig dezimieren will, kann man eh nicht nur beim Login Sicherheitsmassnahmen einbringen. Ich könnte mich ja beispielsweise auch per Skript einloggen und dann x Mal pro Sekunde versuchen lassen, 100 Lose einzuzahlen, obwohl mein Klammaccount Lose-technisch leer ist.

@Aradiv:

1. Ist md5 keine Verschlüsselungsmethode. Was man verschlüsselt, sollte man auch immer wieder entschlüsseln können. md5 ist ein Hashverfahren, was mit Verschlüsseln quasi gar nix zu tun hat.
2. Das Auslesen des Losepassworthashes über die EF-API wäre ein Riesensicherheitsrisiko. Ich könnte mir zu allen IDs die Hashes ausgeben lassen, dazu bekomme ich über die API auch ohne Losepasswort den Nickname des Users und - et voila - hab ich für knapp 200k User schon einen grossen Teil interessanter Daten. Geht man nun her und hat 'ne DB mit schön vielen, aussagekräftigen Klartext/MD5-Tupeln, krieg ich grob geschätzt für mindestens 1/6 der User gültige Nickname/Passwort-Kombinationen, die man entweder direkt auf klamm für den Login verwenden könnte oder man probiert's bei ebay oder sonstwo. Ich an Lukas' Stelle würde sowas nicht machen...
.lange tage und angenehme nächte, tlx
:.whatthemovie.com (Screenshots raten) | PHP ExportForce-Klasse
tleilax ist offline   Mit Zitat antworten
Antwort

Gesponsorte Links

Anzeige


Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)
 
Themen-Optionen
Ansicht

Forumregeln
Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
Es ist Ihnen nicht erlaubt, auf Beiträge zu antworten.
Es ist Ihnen nicht erlaubt, Anhänge hochzuladen.
Es ist Ihnen nicht erlaubt, Ihre Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks sind an
Pingbacks sind an
Refbacks sind an


Ähnliche Themen
Thema Autor Forum Antworten Letzter Beitrag
Lose für Verbesserungsvorschlag Bitfreezer Lose4Action 7 11.11.2007 09:38:46
5-100k für Verbesserungsvorschlag!! Bububoomt Lose4Action (erledigt) 7 01.12.2006 23:54:46
50k je guten Verbesserungsvorschlag. Bububoomt Lose4Action 50 06.07.2006 13:42:35
Verbesserungsvorschlag: WMS *abgelehnt* 27o8 Verbesserungsvorschläge 1 21.06.2006 00:39:16
Verbesserungsvorschlag zur urlaubsplanung. Liquid0815 Verbesserungsvorschläge 1 24.04.2006 14:36:20


Alle Zeitangaben in WEZ +1. Es ist jetzt 14:50:54 Uhr.