Re: Chatfix

[Grotol]

Sind die Spieler die das versucht haben wenigstens bestraft worden ?

[adamas]

hmm ich bezweifle, dass die lücke wirklich oft ausgenutzt wurde. mir selber war sie seit ca einem jahr bekannt, und ich habe xeri damals auch darauf aufmerksam gemacht. damals wurde sie aber nicht gefixt, da sie zu "unwichtig" war (was mich im nachhinein ein wenig nachdenklich stimmt...).
wie kiri richtig gesagt hat, müsste man zumindest das pw oder eben die besagte zeile im quellcode herausbekommen.

aber die, die das ausgenutzt haben, sollten bestraft werden, das ist richtig

[Grotol]

Die die dreister Weise nach der Zeile gefragt haben unter einem Vorwand helfen zu wollen auch, genauso wie die die es über das Rätselpasswort versucht haben, meiner Meinung nach.

[honkey]

ÖHM konnte man so spielern richtigen schaden zufügen???
falls ja bin ich für sperren 

[Oshun]

Mit Tiefenkenntnis definitiv ja.

[adamas]

falls das passwort des spielers bekannt war, konnte man dank dieser lücke zumindest den chat dieses spielers einsehen (inklusive fraktions/gildenchat und PN). ob man auch schreiben konnte, ist mir nicht bekannt, aber ich vermute nicht.

inwiefern das unter "schaden zufügen" fällt, ist wohl von fall zu fall unterschiedlich. aber unangenehm für die betroffenen ist es bestimmt. jeder schreibt sachen im chat, die nicht für alle bestimmt sind.

[AoNEarthquake]

ich vermute sogar das schreiben ist möglich gewesen, auch wenn es nicht so einfach wie das reine auslesen gewesen war/wäre.

[Oshun]

Man brauchte eine bestimmte Zeile aus dem Quelltext des Spielers um per zusammenschachteln der url den Chat des Spielers aus dessen Sicht mitlesen zu können.

Diese bestimmte Zeile konnte man einsehen wenn man mit dem Rätselpasswort (das meintest du adamas oder?) bei dem Spieler einloggte oder sich die Zeile unter Vorwand schicken lies.

Bis hierhin wars jedem langzeit-inet-user möglich das durchzuführen.

Was mit mehr Wissen alles möglich war weiß wohl nur Xeri.

Finde es allerdings ein wenig konfus dass das damals nicht gefixed wurde. Aber vllt gabs da auch noch kein Rätselpw was den Missbrauch einschränkte.

[adamas]

das es auch mit dem rätselpasswort funktionierte, das wusste ich nicht. ich fands damals einfach bedenklich, dass man mit relativ einfachen mitteln an den chat anderer spieler kommt.

[Kiriru]

Ich kann es mir auch nicht anders erklären als dass es die Passwörter damals nicht gab und Xeri es dann vergessen hatte bei der Einführung dieser. Glaube nicht, dass Xeri es sonst gelassen hätte.

Was Bestrafungen angeht, sind meines Wissens nach keine Strafen verhängt worden und ich vermute auch, dass es keine mehr geben wird, da die Angelegenheit zumindest nach meiner Einschätzung nach für Xeridar erledigt ist.

[Wara]

da ja nun gefixt...könnte mal wer sagen welche zeile das war? ich hab nämlich gelegentlich (zumindest teile) des quelltextes weitergegeben + wüßte schon gern, ob ich damit zumindest theoretisch iwem ne tür geöffnet hab 

[adamas]

die da hier:

Code [Auswählen] Expand


<iframe src="ingamechat.php?i=2869&p=" id="chatwindow" name="chatwindow" width="100%" height=200 marginheight=0 marginwidth=2 frameborder=0></iframe><center><form style="display:inline" action="index.php" method="post"><input type="hidden" name="p" value="market"><input type="hidden" name="p2" value="market"><table border=0 cellpadding=0 cellspacing=0><tr><td valign="center">


edit: ziemlich weit oben im quelltext, auf jeder seite, ausser auf denen ohne chat.