Ab sofort wird automatisch das "www." aus der URL entfernt. Wer also http://www.arthoria.de aufruft wird automatisch zu http://arthoria.de umgeleitet.
Diese Änderung bietet auf Dauer einige Vorteile, hat jedoch derzeitig einmalig den Nachteil, dass sich alle Spieler neu einloggen müssen bzw. ein möglicherweise im Browser gespeichertes Passwort neu eintragen müssen, sofern der Login bisher immer mit www erfolgte.
Premiumlinks mit www müssen nicht geändert werden und in Zukunft ist es unwichtig ob diese mit oder ohne www notiert werden.
hm, und von "artoria.de" wird man auch umgeleitet
Darf man fragen, welche Vorteile dies bietet.
Mir is bist jetzt halt aufgefallen, dass man schlechter sitten kann.
Bin bisher immer, wenn ich wen sitten sollte, einmal mit "www." und einmal ohne gleichzeitig in 2 Accounts reingekommen. Jetzt muss man sich immer ausloggen und neu einloggen. Das is nich ganz so schön...
Edit:
Hab gerade festgestellt, dass du eine E-Mail-Mitteilung an alle Spieler geschickt habe.
Bin jetzt etwas geschockt...du speicherst die Passwörter im KLARTEXT auf dem Server!?! o.O
Find ich ein bissel blöd ganz ehrlich.....
Sitten kann man mit einem weiteren Browser.
War aber in 2 Tabs einfach schöner =)
Zitat von: Thrasher am 08. August 2011, 11:22:58
War aber in 2 Tabs einfach schöner =)
ja das stimmt irgendwie.. will mir keinen 2ten browser besorgen für die wenigen sittingtage im jahr :/
na dann loggt euch aus und wieder ein, is jetzt net so das problem find ich
Es geht auch ganz leicht ohne zwei Browser. Einfach ein Inkognito Fenster bzw. Tab öffnen und schon geht es mit dem sitten ganz leicht ;)
Zitat von: grmls am 08. August 2011, 12:40:43
Es geht auch ganz leicht ohne zwei Browser. Einfach ein Inkognito Fenster bzw. Tab öffnen und schon geht es mit dem sitten ganz leicht ;)
Das klappt nur mit Opera - und auch "nur" für 2 Accs. In der Ferienzeit werden es manchmal aber mehr :/
Zitat von: Muschkute am 08. August 2011, 12:08:30
na dann loggt euch aus und wieder ein, is jetzt net so das problem find ich
Ich finde das schon ein Problem, wenn man das 24x am Tag machen soll >.<
man kann sich ja auch einen direktlink zum einloggen basteln:
http://arthoria.de/index.php?p=evaluatelogin&nick=BENUTZERNAME&password=PASSWORT
wenn man das selbe für den gesitteten account macht, ist das umloggen nicht mehr so ein problem ;)
Sowas sollte oder darf eigentlich nicht gehen.
Passwörter sollten nie unverschlüsselt übertragen oder gespeichert werden.
Zitat von: Thrasher am 08. August 2011, 15:46:29
Sowas sollte oder darf eigentlich nicht gehen.
Passwörter sollten nie unverschlüsselt übertragen oder gespeichert werden.
öhm das ist meistens so... solange kein SSL verwendet wird, müsste man es clientseitig mit js verschlüsseln... kenne kaum ne seite auf der das so gemacht wird^^ du etwa?
Lg TLP
Die Passwörter werden in Klartext in der Datenbank gespeichert?
Oh holy crap. o,O
nein wohl kaum... es gibt verschiedenste ebenen
1) Übetragung der Passwörter zurm Server (da gings mir drum)
2) Spiechern in der Datenbank (das hast du jetzt angesprochen. Das weiß niemand wie die gespeichert werden, aber ich nehme an als sha1 oder md5. Noch sicherer wäre es mit einem geheimen prefix (ein sog. "salt"))
3) Das ablegen im Browser... damit hat xeri nun wiederrum nix zu tun ;) das hast du evtl ja in deinem browser eingestellt.
Lg TLP
TLP schau mal deine eMails an, da sollte eine von Arthoria von Vorgestern drin sein.
Dann wirst du deine Meinung bei Punkt 2) wohl ändern müssen
aber im cookie wirds dafür als md5 gespeichert....bisschen komisch ^^
Zitat von: Elandion am 08. August 2011, 22:12:51
TLP schau mal deine eMails an, da sollte eine von Arthoria von Vorgestern drin sein.
Dann wirst du deine Meinung bei Punkt 2) wohl ändern müssen
wtf, ftw oO ich glaubs hackt ... iwie gehört da ja echt mal jmd mit ahnung hin, der die db hackt und xeri mal aufzeigt was das für ne schei** ist... dann bliebe nur zu hoffen er hat bei seinem server nicht die selben Passwörter wie in arthoria ^^
finde ich ganz schön frech!!
@elandion danke dir.
Lg TLP
Ich möchte anmerken, dass jemand, der tatsächlich an die Passwörter ran käme, sie garnicht mehr brauchen würde, um eure Accounts einzusehen oder zu ändern.
Das stimmt so nicht und das weißt du auch.
Doch natürlich stimmt das.
Ich kann alle Informationen über deinen Account rausfinden die ich wissen will und ich kann alles an deinem Account ändern - ohne dein Passwort.
Warum kann ich das? Weil ich Zugriff auf die Datenbank habe.
Wie könnte man an die Passwörter kommen? Indem man irgendwie Zugriff auf die Datenbank bekommt, um sie dort auszulesen.
Öhm welche Email btw?
En paar andere und ich hab zB keine bekommen...*nur mal anmerken will*^^
Nein. Ich übertrage die PW nich als Klartext. Nen Hash-Wert is die denkbar einfachere Methode oder?
Zitat von: Xeridar am 09. August 2011, 01:35:59
Doch natürlich stimmt das.
Ich kann alle Informationen über deinen Account rausfinden die ich wissen will und ich kann alles an deinem Account ändern - ohne dein Passwort.
Warum kann ich das? Weil ich Zugriff auf die Datenbank habe.
Wie könnte man an die Passwörter kommen? Indem man irgendwie Zugriff auf die Datenbank bekommt, um sie dort auszulesen.
richtig, aber die datenbank AUSLESEN und die Datenbank ÄNDERN ist für einen angreifer ein kleiner, aber doch relevanter unterschied.
Du kannst bei mir alles ändern weil du vollzugriff hast. wollte ein Angreifer den selben zugriff haben müsste er deinen server bzw zumindest den dbserver hacken.
Bei deiner konstelation, die PWs im klartext zu speichern, reicht ein kleiner fehler iwie in diener programmierung um die PWs auszulesen und dann in den entsprechenden acc reinzukönnen.
das nen himmelweiter unterschied...
Lg TLP
@Thrasher bei deinen projekten oder wie? das heißt du hast kein einfaches formular welches abgesendet wird und dann auf dem server ausgewertet wird? sondern du wandelst erst das pw auf dem clientrechner um in einen hash und schickst dann den? ;) dann respekt... wütrde mal sagen das machen die wenigsten so :D da ist es auch eher üblicher dann https zu verwenden. dann haste ne vollverschlüsslung der verbindung und musst net mit java oder js iwas tricksen.
Ich frage mich, was daran so schlimm sein soll, wenn eure Passwörter für die bösen bösen Hacker sichtbar sind?
Datensicherheit in allen ehren, aber was soll an eurem Passwort so besonders sein? Wenn man nicht für jede Seite ein anderes Passwort nimmt, ist man selbst schuld. Für die eigene Datensicherheit sorgt man größtenteils noch selbst.
Wenn ihr um eure e-Mail-Adressen bangt: wieso habt ihr keine Spam-Mail-Adressen? Wäre doch die optimale Sicherheit ::)
Wenn ihr mit dem Klartexteintrag (ich habe übrigens auch keine Mail diesbezüglich bekommen) nicht einverstanden seid, löscht euch doch einfach.. dann landen die Daten nach 2 Wochen restlos im Datennirvana.
Und ob ein Cracker nun die DB auslesen oder gar ändern könnte, ist im Endeffekt sowieso Hupe. Cracker sind auf die maximale Zerstörung aus. Und das dürfte dann nicht nur die DB sein..
Und wieso sollten "normale" Hacker die Datenbank auslesen wollen? Was hätten sie davon?
Zitat von: Voltan am 09. August 2011, 16:55:21
Und ob ein Cracker nun die DB auslesen oder gar ändern könnte, ist im Endeffekt sowieso Hupe. Cracker sind auf die maximale Zerstörung aus. Und das dürfte dann nicht nur die DB sein..
Und wieso sollten "normale" Hacker die Datenbank auslesen wollen? Was hätten sie davon?
wir reden hier ja eher nich von Lulzsec :D Es kann ja auch jmd sein, der sich Items ercheaten will oder anderen (bestimmten) Spielern schaden will. Oder jmd, der neugierig is, was der Xeri-Acc so alles kann... Motive lassen sich genügend finden für alles mögliche.
Don´t confuse with Lulz..
Wenns nur um das Ercheaten von Items oder das Schädigen div. Spieler ginge, ließe sich das alles nachverfolgen..
ich könnte meinen Arsch darauf verwetten, dass Xeri tägliche Backups macht, die sich nach einer Woche wieder überschreiben (und das ggf. mit regelmäßigem Backup auf seinem Homeserver/Privatrechner). Da andere Spieler /der betroffene Spieler das wohl merken, wenn was mit demjenigen/sich selbst nicht stimmt, wird wohl eine Nachricht bei Xeri eingehen, der dann anhand des Backups und genauer Untersuchung des Falles eben jene Dinge mitkriegt und sich auf die Suche nach dem Bösewicht macht. Außerdem wird sich Xeri wohl des öfteren über die Konsole einloggen.. dort wird nach jedem Userlogin das letzte Login angezeigt.. Außerdem kann man Login-Logs erstellen.
Aber was nützt diese Diskussion? Es gibt etwas, an was keiner denkt: Wenn ich einmal Zugriff auf die Datenbank habe (und davon war nie die Rede, sondern nur von Klartextpasswörter IN der Datenbank), kann ich mir die Prüfsumme schnappen und mich anstatt von Name/Passwort einfach mit dem Hash anmelden..
Wenn jemand Zugriff auf den Root (oder im seichten Falle auf die DB) kriegt ist sowieso Polen offen. Da kann man getrost auf Klartexte in der DB scheißen..
hm, da ja gerade ne expertenrunde tagt, können meine fragen sicher kompetent beantwortet werden:
1. was haben die spiel-account pw mit dem db-server login zu tun?
2. nutzt ihr facebook? da werden die passwörter auch im klartext geschickt, ist einfach ein POST request zur einer SSL seite.
3. ich mag arthoria, spiele es gern, sehr gern sogar. aber sicherheitsrelevant ist es nicht.
freu mich auf feedback :)
Mehr noch als ich darüber erstaunt bin, dass die Klartextpasswörter allen egal sind, bin ich darüber erstaunt dass sich der Herr Admin noch immer nicht zu der Frage geäußert hat, was denn das abschlaten von "www." für Vorteile bringen soll.
Zitat von: Voltan am 09. August 2011, 19:10:40
Da kann man getrost auf Klartexte in der DB scheißen..
Was mich persönlich stört ist, dass die (dummen & armen) User (auch DAU genannt), welche das Passwort auch als ihr Email und Banking Passwort verwenden Schäden davon tragen können, die mit der einfachen Maßnahme des Hashens der Passwörter ein bisschen eingedämmt werden könnten.
das abschalten der tld kann in gewissen netzwerkkonfigurationen laggs vermeiden.
und wenn man so blöd ist für ein SPIEL das gleiche pw zu nehmen wie für die alarmanlage, das bankkonto, etc. ... hm naja dann sorry - aber wir leben nun mal in einer welt in der man das NICHT tun darf.
[edit]
aber im grunde genommen hast du recht, man sollte versuchen den user vor sich selbst zu schützen.
im nachhinein aber das system umstellen ist aber sehr mühsam. viele apps übertragen die logindaten von einer unsecured site aus (post) ... wie die daten dort gespeichert sind kannst nur raten.
vlt. rufst mal probeweise deinen handybetreiber an und stellst ne frage zu deinem account - meist fragen sie dann nach deinem kundenkennwort ... nun frage ich mich wo die das auslesen?
[/edit]
Zitat von: Mborrak am 09. August 2011, 19:48:10
im nachhinein aber das system umstellen ist aber sehr mühsam.
Ist es das?
Arthoria läuft auf einer MySQL Datenbank.
MySQL bietet eine Funktion "MD5()" und man kann Schleifen realisieren.
Einfach ein Query basteln, dass alle User durchgeht, das Passwort ausliest, in einen MD5 Hash umwandelt und wieder abspeichert.
Dann noch den Login (und Registration) umschreiben, so dass nicht PW mit PW verglichen sondern MD5(PW) mit MD5PW aus der DB verglichen wird.
Wenn das Query vorbereitet ist, das Loginskript und Registrationskript vorbereitet ist, müssen nur noch die alten Login/Registrationsskripte durch die neuen ersetzt werden und das Query ausgeführt werden. Würde quasi ohne Unterbrechnung vonstatten gehen.
Oder?
Zitat von: Voltan am 09. August 2011, 19:10:40
Wenns nur um das Ercheaten von Items oder das Schädigen div. Spieler ginge, ließe sich das alles nachverfolgen..
und wie genau? :D wer sagt das der spieler das Item net verkauft hat und jezz so tut als ob es ihm geklaut wurde? :D :D
Zitat von: Voltan am 09. August 2011, 19:10:40
ich könnte meinen Arsch darauf verwetten, dass Xeri tägliche Backups macht, die sich nach einer Woche wieder überschreiben (und das ggf. mit regelmäßigem Backup auf seinem Homeserver/Privatrechner). Da andere Spieler /der betroffene Spieler das wohl merken, wenn was mit demjenigen/sich selbst nicht stimmt, wird wohl eine Nachricht bei Xeri eingehen, der dann anhand des Backups und genauer Untersuchung des Falles eben jene Dinge mitkriegt und sich auf die Suche nach dem Bösewicht macht.
Genau. deshalb bekommt man ja auch Items erstattet, die beim zünden nicht funktioniert haben, oder AP die durch Bugs verloren gegangen sind... weil Xeri alles überblicken kann und das dann gerne den spielern wieder zurückgibt :) *ironie ende* (da gabs schon nen paar mal leute die ne menge geld wegen nem Bug verloren hatten... da war nix möglich zu tun, um die zu entschädigen...)
Zitat von: Mborrak am 09. August 2011, 19:34:21
hm, da ja gerade ne expertenrunde tagt, können meine fragen sicher kompetent beantwortet werden:
1. was haben die spiel-account pw mit dem db-server login zu tun?
2. nutzt ihr facebook? da werden die passwörter auch im klartext geschickt, ist einfach ein POST request zur einer SSL seite.
3. ich mag arthoria, spiele es gern, sehr gern sogar. aber sicherheitsrelevant ist es nicht.
1. erstmal nix (sollte ich diene frage richtig verstanden haben)
2. eben SSL... google mal. SSL ist ne verschlüsselte verbindung.
3. arthoria ist nicht sicherheitsrelevant? öhm... joa stimmt xD xD Ist aber unwichtig. Darum gings ja net.
Zitat von: Mborrak am 09. August 2011, 19:48:10
und wenn man so blöd ist für ein SPIEL das gleiche pw zu nehmen wie für die alarmanlage, das bankkonto, etc. ... hm naja dann sorry - aber wir leben nun mal in einer welt in der man das NICHT tun darf.
genau. alle etwas unwissenderen Usern sind jezz Idioten oder was? oO klingt schon nen bissl arrogant. und wenn ich in jedem forum / spiel / emailaccount, etc unterschiedliche Passwörter hätte wäre ich wohl jenden tag nen paar stunden mit PWs auswendig lernen beschäftigt. Ich trenne auch nur zwischen wichtigen udn unwichtigen und hab damit 10 PWs oder sowas. aber doch net für JEDEN Acc extra oO
Zitat von: Mborrak am 09. August 2011, 19:48:10
[edit]
aber im grunde genommen hast du recht, man sollte versuchen den user vor sich selbst zu schützen.
im nachhinein aber das system umstellen ist aber sehr mühsam. viele apps übertragen die logindaten von einer unsecured site aus (post) ... wie die daten dort gespeichert sind kannst nur raten.
vlt. rufst mal probeweise deinen handybetreiber an und stellst ne frage zu deinem account - meist fragen sie dann nach deinem kundenkennwort ... nun frage ich mich wo die das auslesen?
[/edit]
gut das hab ich oben ja schon geschrieben. BTW: also mein handyprovider unterscheidet zwischen den Logins. also ich hab drei PWs von denen, je nachdem ob ich per anruf hilfe will, per email oder per Login auf der providerwebsite... das PW für den anruf ist nur aus zahlen und festgelegt von anfang an. (Ich nehme an, damit man eben net sein normales pw dafür nimmt.)
Lg TLP
PS: hoffe klingt jezz net sauer oder so^^ ich nehms eher locker, aber finde es nen bissl seltsam das es hier leute gibt, denen das anscheinend scheiß egal ist.
/Edit: musst keine schleife nehmen. Das geht ja deutlich easier. Aber man muss eben alle stellen berücksichtigen... je nachdem wie er es programmiert hat ist es mehr oder weniger arbeit. und einmal vergessen (zum beispiel beim pw ändern), dann läuft das system in ein Desaster.
Zitat von: Mborrak am 09. August 2011, 19:48:10
das abschalten der tld kann in gewissen netzwerkkonfigurationen laggs vermeiden.
Den Teil ganz übersehen ;O
---------------
Was sollen das denn für Netzwerkonfigurationen sein?
Now you've made me curious.
darauf bin ich acuh gespannt. also tld kenn ich nur als Top-level-domain... wenn er die abschaltet... ähm... wtf? :D :D
schieß los und erklären bitte :)
Lg TLP
Zitat von: TheLightPrince am 09. August 2011, 20:26:08
Genau. deshalb bekommt man ja auch Items erstattet, die beim zünden nicht funktioniert haben, oder AP die durch Bugs verloren gegangen sind... weil Xeri alles überblicken kann und das dann gerne den spielern wieder zurückgibt :) *ironie ende* (da gabs schon nen paar mal leute die ne menge geld wegen nem Bug verloren hatten... da war nix möglich zu tun, um die zu entschädigen...)
ich kann mich an diverse Charaktere erinnern, die sich mit ihren Stammsittern angefeindet hatten und ihr Passwort nie geändert haben und irgendwann ohne Rüstung und Inventar dastanden.. und - oh wunder! - einen Tag später hatten sie ihren Char wie vor dem Anschlag wieder gehabt.. Spielst vielleicht nicht lang genug, um solche Fälle mitbekommen zu haben.
Xeri gibt ja auch nie etwas zurück, was in großen Ausmaßen bei Bugs verloren gegangen ist.. siehe die Laggs bei dem SK, wo ALLE +3 AP haben, da es einfach unspielbar war.. Zufall?! ::)
Zitat von: TheLightPrince am 09. August 2011, 20:26:081. erstmal nix (sollte ich diene frage richtig verstanden haben)
Mborrak wolte bloß wieder auf das Ursprungsthema hinleiten.
Und wie ich schon schrieb: was kümmern Klatextpasswörter, die jmd. auslesen könnte, wenn derjenige sowieso Zugriff aus alle Daten hat? Passwörter sind nur ein kleines Zahnrädchen des Datenklaus.. Theoretisch müsste man ja alles verschlüsseln, damit ja niemand was sehen kann ::)
Wer kennt denn noch alles die Faustregel "Überall, wo Daten übertragen werden, kann man diese auch manipulieren."
kleiner Edit:
Zitat von: nazrek am 09. August 2011, 20:16:03
Arthoria läuft auf einer MySQL Datenbank.
Fehler per Definition. Arthoria
nutzt nur MySQL-Datenbanken zur Speicherung von Daten in mehrdimensionalen Feldern. Auf diese wird per php-Skripte zugegriffen um etwas zu vergleichen oder etwas zu verändern.
Zitat von: Voltan am 09. August 2011, 20:54:31
Und wie ich schon schrieb: was kümmern Klatextpasswörter, die jmd. auslesen könnte, wenn derjenige sowieso Zugriff aus alle Daten hat? Passwörter sind nur ein kleines Zahnrädchen des Datenklaus..
Wie mborrak sagte und ich meinte: "aber im grunde genommen hast du recht, man sollte versuchen den user[den DAU] vor sich selbst zu schützen."
Zitat von: Voltan am 09. August 2011, 20:54:31
kleiner Edit:
Fehler per Definition. Arthoria nutzt nur MySQL-Datenbanken zur Speicherung von Daten in mehrdimensionalen Feldern. Auf diese wird per php-Skripte zugegriffen um etwas zu vergleichen oder etwas zu verändern.
Meinte ich natürlich. Wie dynamische Website funktionieren weiß ich - nichtsdestotrotz: Umstellung auf hashed Passwörter ist kein großer Akt.
Zitat von: Voltan am 09. August 2011, 20:54:31
ich kann mich an diverse Charaktere erinnern, die sich mit ihren Stammsittern angefeindet hatten und ihr Passwort nie geändert haben und irgendwann ohne Rüstung und Inventar dastanden.. und - oh wunder! - einen Tag später hatten sie ihren Char wie vor dem Anschlag wieder gehabt.. Spielst vielleicht nicht lang genug, um solche Fälle mitbekommen zu haben.
das hab ich tatsächlich noch nie mitbekommen in meinen inzwischen 3 jahren spielzeit. naja... also wenn 3 jahre zu wenig spielzeit sind, kanns net sehr oft sein^^
Zitat von: Voltan am 09. August 2011, 20:54:31
Xeri gibt ja auch nie etwas zurück, was in großen Ausmaßen bei Bugs verloren gegangen ist.. siehe die Laggs bei dem SK, wo ALLE +3 AP haben, da es einfach unspielbar war.. Zufall?! ::)
Das das eine etwas andere Situation ist, ist dir schon bewusst oder? :D
Zitat von: Voltan am 09. August 2011, 20:54:31
Mborrak wolte bloß wieder auf das Ursprungsthema hinleiten.
berechtigt. lassen wir die diskussion einfach. wenn iwann was passiert, ist es halt so, wenn nein, dann ist ja alles gut :)
Zitat von: Voltan am 09. August 2011, 20:54:31
Und wie ich schon schrieb: was kümmern Klatextpasswörter, die jmd. auslesen könnte, wenn derjenige sowieso Zugriff aus alle Daten hat? Passwörter sind nur ein kleines Zahnrädchen des Datenklaus.. Theoretisch müsste man ja alles verschlüsseln, damit ja niemand was sehen kann ::)
Wer kennt denn noch alles die Faustregel "Überall, wo Daten übertragen werden, kann man diese auch manipulieren."
gut hab ich ne bissl andere Meinung zu. aber jedem seine Meinung.
Lg TLP
tld? jo war mein Fehler :(
ich meinte third level domain, also den hostname - sry, hätte nicht passieren dürfen dass das missverständlich ist.
@ltp ...
wenn du ein formular auf einer non ssl seite absendest, ist es dann verschlüsselt? o.o
Zitat von: Mborrak am 09. August 2011, 21:12:35
tld? jo war mein Fehler :(
ich meinte third level domain, also den hostname - sry, hätte nicht passieren dürfen dass das missverständlich ist.
Verstehe nur immer noch nicht, inwiefern das dabei helfen soll Lags zu vermindern.
Zitat von: Mborrak am 09. August 2011, 21:12:35
@ltp ...
wenn du ein formular auf einer non ssl seite absendest, ist es dann verschlüsselt? o.o
denke mal mit ltp meinste mich den tlp^^
jupp sry ich hab facebook dazu gezwungen immer ssl zu verwenden, daher hab ich das problem net^^
Lg TLP
wenn im internen netz der hostname nicht richtig aufgelöst wird kommt es zu unterschieldichen und sehr schwankenden responses für die site. so beobachtet bei arthoria.de vs www.arthoria.de
wenn alles richtig konfiguriert ist, ist das nicht der fall, dass muss aber die infrastruktur zulassen und der admin entsprechend umsetzen.
sonst halte ich mich ab jetzt an voltan ... was hat das mit dem thema zu tun? (und aus)
@LTP ja meinte dich (sry)
Zitat von: Mborrak am 09. August 2011, 21:25:22
wenn im internen netz der hostname nicht richtig aufgelöst wird kommt es zu unterschieldichen und sehr schwankenden responses für die site. so beobachtet bei arthoria.de vs www.arthoria.de
wenn alles richtig konfiguriert ist, ist das nicht der fall, dass muss aber die infrastruktur zulassen und der admin entsprechend umsetzen.
[...]
@LTP ja meinte dich (sry)
löl wieder falschrum^^
naja... hat auch noch was mit den unterschiedlichen DNS Servern zutun. da kannste in deinem internen netzwerk einrichten was du willst... wenn die verzapft sind, sind die unterschiedlich schnell und du kannst nix ändern.
genau, aber jezz mal btt ;)
Lg TLP
Zitat von: TheLightPrince am 09. August 2011, 20:26:08
Genau. deshalb bekommt man ja auch Items erstattet, die beim zünden nicht funktioniert haben, oder AP die durch Bugs verloren gegangen sind... weil Xeri alles überblicken kann und das dann gerne den spielern wieder zurückgibt :) *ironie ende* (da gabs schon nen paar mal leute die ne menge geld wegen nem Bug verloren hatten... da war nix möglich zu tun, um die zu entschädigen...)
Zitat von: TheLightPrince am 09. August 2011, 21:08:32
Das das eine etwas andere Situation ist, ist dir schon bewusst oder? :D
Wieso sollte das was anderes sein? ist doch auch nur ein Bug..
Xeri hat schon immer wieder Entschädigungen rausgeworfen wie ein Blöder, nur, damit der Pöbel Arthorias besänftigt ist.
ein paar größere dinge, die mir spontan einfallen:
4 Stunden Serverdown - gebundener SdE (den hab ich übrigens heute noch)
zu starke gildenmonster - Xeri kämpfte sogar mit
zu starke Monster in den Minen - Heilungen ohne Ende..
diverse Sofortevents (z.B.spontane Kasinoeröffnung) bei Serverausfällen.
uvm.
das waren wohl auch alles nur "Features"? Hauptsache immer wieder mehr und mehr wollen..
Wenn ne Rolle nicht funktioniert: tja, kommt vor..
Für einzelne Sachen, die eben nicht funktionierten, kann man bei tausenden Spielern nicht jeden Spieler besänftigen.. bei dingen, die eben aber wesentlich mehr betroffene haben oder gravierend waren, wurde immer so viel wie möglich getan..
Und bei Selbstverschulden ala "wääh, ich hab meinen +9 kugligen diafrosti [9] zerdeppert!".. naja.. kein Kommentar..
Aber welche Fälle du jetzt
genau meinst, ist aber auch egal. Auf alle Fälle kam dein Post so rüber wie "der tut ja eh nie den Spielern was gutes, wenn was verkehrt läuft.." falls ich das falsch aufgefasst haben sollte, dann verzeih.
Aber wie schon von dir und Mbo gesagt: Endlich wieder B2T.
So far
Zitat von: TheLightPrince am 09. August 2011, 21:44:24
genau, aber jezz mal btt ;)
Was war denn Topic?
Ah ja, right.
Super job Xeri, keep the good work up. Und so. Herzchen und so. Gänseblümchen, awww :)
Zitat von: TheLightPrince am 09. August 2011, 21:44:24
löl wieder falschrum^^
nö richtig rum ... internes netz ist sicher nicht meins sondern das des providers, hättest du aber beim verfolgen des OT-threads auch selbst herausfinden können :(
nun aber wirklich schluss - xeri zahlt dafür dass das alles wieder rund läuft. und bemüht sich auch bei den ganzen dingen immer alle zufrieden zu stellen!
und vergesst bitte eins nicht - dieses spiel ist KOSTENLOS! da darf es auch einige dinge geben die nicht rund laufen ...
Zitat von: Mborrak am 10. August 2011, 07:54:18
nö richtig rum ... internes netz ist sicher nicht meins sondern das des providers, hättest du aber beim verfolgen des OT-threads auch selbst herausfinden können :(
nun aber wirklich schluss - xeri zahlt dafür dass das alles wieder rund läuft. und bemüht sich auch bei den ganzen dingen immer alle zufrieden zu stellen!
und vergesst bitte eins nicht - dieses spiel ist KOSTENLOS! da darf es auch einige dinge geben die nicht rund laufen ...
Das falschrum war auf @LTP bezogen.....nich auf deine Aussage -.-
Davon gehe ich zumindest aus...
Wenn sowas bekannt wird, dass die Passwörter im Klartext in der DB abgelegt werden, dann darf man aber durchaus davon ausgehen, dass hier schnellstmöglich Abhilfe geschaffen wird durch den Betreiber.
Die Umstellung kann transparent erfolgen, so dass die Spieler davon nix mitbekommen.
Flag in der Userstabelle, welches anzeigt, ob die Passwörter im alten (klartext) oder neuen Format sind und dann beim Login bei allen, die noch das alte Format benutzen umwandeln.
Aufwand: ca. 1h
Gewinn: VERTRAUEN!
PS:
Ich empfehle die Bibliothek phpass, da diese die aktuell sichersten Methoden zum Speichern von Passwörtern bietet.
Alles in allem bleibt immernoch das Problem: wenn jemand in die DB kommt, kann er sich hier einloggen.
Aber wenn er die Passwörter ausspähen kann, kann er versuchen, sie auf anderen Webseiten zu benutzen. Z.B. beim email-Account, der steht ja auch dabei. Oder andere Webseiten, wo der Nutzername bekannt ist - Facebook/Studi wären ein gutes Beispiel, da gibts Arthoria-Gruppen. Da findet sich sicher schnell ein Treffer zwischen den Nutzernamen oder ähnlichem.
Imho muss man hier die Nutzer vor sich selbst schützen (wenn sie so blöd sind und auf mehreren Seiten dieselben PWs nutzen) und die PWs auf jeden Fall verschlüsseln.
Zitat von: Valdar am 19. August 2011, 10:40:20
Alles in allem bleibt immernoch das Problem: wenn jemand in die DB kommt, kann er sich hier einloggen.
Aber wenn er die Passwörter ausspähen kann, kann er versuchen, sie auf anderen Webseiten zu benutzen. Z.B. beim email-Account, der steht ja auch dabei. Oder andere Webseiten, wo der Nutzername bekannt ist - Facebook/Studi wären ein gutes Beispiel, da gibts Arthoria-Gruppen. Da findet sich sicher schnell ein Treffer zwischen den Nutzernamen oder ähnlichem.
Imho muss man hier die Nutzer vor sich selbst schützen (wenn sie so blöd sind und auf mehreren Seiten dieselben PWs nutzen) und die PWs auf jeden Fall verschlüsseln.
danke Val ;) meine Worte^^ Gibt aber noch mehr zu tun. Hab mit Xeri schon ausgemacht, die Tage mal zu sprechen.
Lg TLP
Ich werde hier das Thema einmal schließen, da die Beiträge nichts mehr mit dem eigentlichen Thread zutun haben.
Die angesprochenen Bedenken habe ich zur Kenntnis genommen und ich werde mir vornehmen da auf Dauer mal eine Umstellung durchzuführen.
Allerdings erhält diese Änderung derzeit von mir keine absolute Priorität.
Im übrigen ist das aktuelle Vorgehen auch bei großen Webseiten und Browsergames keine wirkliche Seltenheit. Beispiele werde ich da jetzt nicht nennen, aber es war kein großen Aufwand genügend zu finden.