Gildennachrichten

undernet · 02. Oktober 2015, 15:53:59

Gravierender Fehler!

Schreibt man irgendwas wie.. hallo 'das bezieht sich auf member' denkt an eure schuhe!

so erscheint "Nachricht hinzugefügt" aber es ist in den Nachrichten nichts zu sehen. Bitte Nachrichtenausgabe korregieren zu: Sonderzeichen etc. sind nicht erlaubt oder was besseres.

Yirara · 05. Oktober 2015, 20:28:56

Ich verstehe nicht genau, was du meinst?

In deinem Beitrag sind keine Sonderzeichen, die dort nicht angezeigt werden?!

Stonedgekko · 05. Oktober 2015, 20:35:06

Wenn man ' in der Nachricht verwendet kann es wohl zu Problemen kommen *übersetz*

Yirara · 06. Oktober 2015, 19:55:16

Mhm ok, wenn das gemeint ist benutzt doch einfach " anstatt ' und schon wäre das Problem gelöst.
Funktioniert genauso und ist in der deutschen Sprache üblich wenn man etwas besonders betonen will.

undernet · 06. Oktober 2015, 23:29:59

Du scheinst den Fehler nicht zu verstehen.

Sanglant · 06. Oktober 2015, 23:45:01

es ist unter umständen auch eine sicherheitslücke, deshalb wende dich besser direkt an xeri.
zumal es nicht schwer zu beheben sein dürfte. aber was das maskieren von besonderen zeichen anbelangt, war arthoria immer schon ein bisschen "eigen".

Yirara · 07. Oktober 2015, 18:36:07

Nein ganz verstanden habe ich deinen Beitrag nicht, denn de facto funktionieren Sonderzeichen.
Offensichtlich funktioniert das einzelne Sonderzeichen ' nicht.
Gut, das es evtl ein Sicherheitsproblem geben könnte verstehe ich, aber rein textmäßig kann man dieses Problem eben beheben indem man " anstatt ' benutzt.

Galar · 07. Oktober 2015, 19:43:56

Zitat von: Yirara am 07. Oktober 2015, 18:36:07
Nein ganz verstanden habe ich deinen Beitrag nicht, denn de facto funktionieren Sonderzeichen.
Offensichtlich funktioniert das einzelne Sonderzeichen ' nicht.
Gut, das es evtl ein Sicherheitsproblem geben könnte verstehe ich, aber rein textmäßig kann man dieses Problem eben beheben indem man " anstatt ' benutzt.

Aber: "V. Es ist nicht gestattet, sich oder anderen Spielern über Fehler im System Vorteile zu verschaffen. Derartige Fehler müssen umgehend bei einem Moderator gemeldet werden und dürfen nicht ausgenutzt werden."

Es ist nicht beweisbar, dass man sich über diesen Fehler keinen Vorteil beschaffen könnte. Somit muss der Fehler gemeldet werden. Wurde ja gemacht.

Weiß ehrlich nicht, was diese ganze Diskussion zur Umgehung soll ...

Chevalie · 07. Oktober 2015, 19:50:57

Ich kann Yira schon verstehen, letztendlich bedeutet eine Korrektur schließlich Arbeit für Xeri (und dessen Zeit ist, wie wir alle wissen, äußerst knapp). Außerdem sehe ich bis jetzt keine Möglichkeit zur Vorteilsbeschaffung (?)

Tatsächlich wäre es am einfachsten, einfach ' durch " zu ersetzen, denn seien wir mal ehrlich: wie oft braucht man dieses Zeichen schon?
Trotzdem ist es natürlich immer gut, Fehler zu melden

Stonedgekko · 08. Oktober 2015, 02:04:02

Wenn Sonderzeichen nicht richtig maskiert(Tante Edit sagt: "oder gefiltert") werden in Websites die von Nutzern erstellten Text wiedergeben, so besteht die Möglichkeit Fremdcode zu injizieren, was fatale Folgen haben kann.
Bei ' ist das jetzt glaub nicht so kritisch aber selbst ne winzige Sicherheitslücke könnte von jemand mit dem nötigen knowhow ausgenutzt werden

Schlimm wäre wenn < nicht richtig maskiert wäre, aber ich glaube das hat Xeri bereits bedacht^^

How The Self-Retweeting Tweet Worked <--nen lustiges Beispiel eines solchen Exploits.

Valdar · 08. Oktober 2015, 07:42:44

Zitat von: Stonedgekko am 08. Oktober 2015, 02:04:02
Bei ' ist das jetzt glaub nicht so kritisch

doch, das ist in SQL ziemlich kritisch

Aber ihr schweift ab: die ' werden gefiltert statt maskiert, damit ist Arthoria höchstwahrscheinlich nicht anfällig. undernet hätte gerne ein Maskierung statt der Filterung und an dieser Stelle würde ich tatsächlich auf Yiraras Vorschlag verweisen

Stonedgekko · 08. Oktober 2015, 19:29:16

Oh ok, mit SQL kenn ich mich nicht aus.

Beobachtet hab ich folgendes:
test 'test' test -> test est test
'test test test' -> Nachricht wird nicht angezeigt.
test 'test test' -> Nachricht wird nicht angezeigt.
'test test'test -> est test est

Denke es gibt nen Bug im Filter, der nicht nur ' sondern auch das darauf folgende Zeichen entfernt, was wenn ' am Ende des Strings steht wohl dazu führt, dass die Nachricht garnicht erst angezeigt wird.

Yirara · 08. Oktober 2015, 19:55:22

Lustig, bei test 'test' = test est

Aber bei zB yxz 'yxz' yxz = yxz yxz yxz

Tja scheint wohl nicht ganz zu funktionieren die Filterung. ^^

Benutzen wir alle lieber " und haben unsere Ruhe.

Edit: Wenns am Ende steht erscheint tatsächlich die gesamte Nachricht nicht.

TheLightPrince · 08. Oktober 2015, 23:39:25

Eure beobachtungen sind nur oberflächlich korrekt. Da passiert etwas anderes, was ich hier jetzt aber nicht ausführen möchte.

PS: Ist aber meines Erachtens nach nicht exploitable, da die Abfrage keine gültigkeit mehr erhalten kann, nach dem Unterbrechen per '-Zeichen.

Xeridar · 09. Oktober 2015, 12:11:27

Eine Sicherheitslücke war es glücklicherweise nicht, dennoch habe ich mich darum gekümmert. Scheint jetzt alles korrekt zu funktionieren

Gildennachrichten

Galar