Änderung: "www" ab sofort ungültig

[nazrek]

im nachhinein aber das system umstellen ist aber sehr mühsam.

Ist es das?
Arthoria läuft auf einer MySQL Datenbank.
MySQL bietet eine Funktion "MD5()" und man kann Schleifen realisieren.
Einfach ein Query basteln, dass alle User durchgeht, das Passwort ausliest, in einen MD5 Hash umwandelt und wieder abspeichert.
Dann noch den Login (und Registration) umschreiben, so dass nicht PW mit PW verglichen sondern MD5(PW) mit MD5PW aus der DB verglichen wird.
Wenn das Query vorbereitet ist, das Loginskript und Registrationskript vorbereitet ist, müssen nur noch die alten Login/Registrationsskripte durch die neuen ersetzt werden und das Query ausgeführt werden. Würde quasi ohne Unterbrechnung vonstatten gehen.
Oder?

[TheLightPrince]

Wenns nur um das Ercheaten von Items oder das Schädigen div. Spieler ginge, ließe sich das alles nachverfolgen..

und wie genau? :D wer sagt das der spieler das Item net verkauft hat und jezz so tut als ob es ihm geklaut wurde? :D :D

ich könnte meinen Arsch darauf verwetten, dass Xeri tägliche Backups macht, die sich nach einer Woche wieder überschreiben (und das ggf. mit regelmäßigem Backup auf seinem Homeserver/Privatrechner). Da andere Spieler /der betroffene Spieler das wohl merken, wenn was mit demjenigen/sich selbst nicht stimmt, wird wohl eine Nachricht bei Xeri eingehen, der dann anhand des Backups und genauer Untersuchung des Falles eben jene Dinge mitkriegt und sich auf die Suche nach dem Bösewicht macht.

Genau. deshalb bekommt man ja auch Items erstattet, die beim zünden nicht funktioniert haben, oder AP die durch Bugs verloren gegangen sind... weil Xeri alles überblicken kann und das dann gerne den spielern wieder zurückgibt *ironie ende* (da gabs schon nen paar mal leute die ne menge geld wegen nem Bug verloren hatten... da war nix möglich zu tun, um die zu entschädigen...)

hm, da ja gerade ne expertenrunde tagt, können meine fragen sicher kompetent beantwortet werden:
1. was haben die spiel-account pw mit dem db-server login zu tun?
2. nutzt ihr facebook? da werden die passwörter auch im klartext geschickt, ist einfach ein POST request zur einer SSL seite.
3. ich mag arthoria, spiele es gern, sehr gern sogar. aber sicherheitsrelevant ist es nicht.

1. erstmal nix (sollte ich diene frage richtig verstanden haben)
2. eben SSL... google mal. SSL ist ne verschlüsselte verbindung.
3. arthoria ist nicht sicherheitsrelevant? öhm... joa stimmt xD xD Ist aber unwichtig. Darum gings ja net.

und wenn man so blöd ist für ein SPIEL das gleiche pw zu nehmen wie für die alarmanlage, das bankkonto, etc. ... hm naja dann sorry - aber wir leben nun mal in einer welt in der man das NICHT tun darf.

genau. alle etwas unwissenderen Usern sind jezz Idioten oder was? oO klingt schon nen bissl arrogant. und wenn ich in jedem forum / spiel / emailaccount, etc unterschiedliche Passwörter hätte wäre ich wohl jenden tag nen paar stunden mit PWs auswendig lernen beschäftigt. Ich trenne auch nur zwischen wichtigen udn unwichtigen und hab damit 10 PWs oder sowas. aber doch net für JEDEN Acc extra oO

[edit]
aber im grunde genommen hast du recht, man sollte versuchen den user vor sich selbst zu schützen.
im nachhinein aber das system umstellen ist aber sehr mühsam. viele apps übertragen die logindaten von einer unsecured site aus (post) ... wie die daten dort gespeichert sind kannst nur raten.
vlt. rufst mal probeweise deinen handybetreiber an und stellst ne frage zu deinem account - meist fragen sie dann nach deinem kundenkennwort ... nun frage ich mich wo die das auslesen?
[/edit]

gut das hab ich oben ja schon geschrieben. BTW: also mein handyprovider unterscheidet zwischen den Logins. also ich hab drei PWs von denen, je nachdem ob ich per anruf hilfe will, per email oder per Login auf der providerwebsite... das PW für den anruf ist nur aus zahlen und festgelegt von anfang an. (Ich nehme an, damit man eben net sein normales pw dafür nimmt.)

Lg TLP

PS: hoffe klingt jezz net sauer oder so^^ ich nehms eher locker, aber finde es nen bissl seltsam das es hier leute gibt, denen das anscheinend scheiß egal ist.

/Edit: musst keine schleife nehmen. Das geht ja deutlich easier. Aber man muss eben alle stellen berücksichtigen... je nachdem wie er es programmiert hat ist es mehr oder weniger arbeit. und einmal vergessen (zum beispiel beim pw ändern), dann läuft das system in ein Desaster.

[nazrek]

das abschalten der tld kann in gewissen netzwerkkonfigurationen laggs vermeiden.

Den Teil ganz übersehen ;O
---------------
Was sollen das denn für Netzwerkonfigurationen sein? Now you've made me curious.

[TheLightPrince]

darauf bin ich acuh gespannt. also tld kenn ich nur als Top-level-domain... wenn er die abschaltet... ähm... wtf? :D :D

schieß los und erklären bitte

Lg TLP

[Voltan]

Genau. deshalb bekommt man ja auch Items erstattet, die beim zünden nicht funktioniert haben, oder AP die durch Bugs verloren gegangen sind... weil Xeri alles überblicken kann und das dann gerne den spielern wieder zurückgibt *ironie ende* (da gabs schon nen paar mal leute die ne menge geld wegen nem Bug verloren hatten... da war nix möglich zu tun, um die zu entschädigen...)

ich kann mich an diverse Charaktere erinnern, die sich mit ihren Stammsittern angefeindet hatten und ihr Passwort nie geändert haben und irgendwann ohne Rüstung und Inventar dastanden.. und - oh wunder! - einen Tag später hatten sie ihren Char wie vor dem Anschlag wieder gehabt.. Spielst vielleicht nicht lang genug, um solche Fälle mitbekommen zu haben.
Xeri gibt ja auch nie etwas zurück, was in großen Ausmaßen bei Bugs verloren gegangen ist.. siehe die Laggs bei dem SK, wo ALLE +3 AP haben, da es einfach unspielbar war.. Zufall?! 

1. erstmal nix (sollte ich diene frage richtig verstanden haben)

Mborrak wolte bloß wieder auf das Ursprungsthema hinleiten.
Und wie ich schon schrieb: was kümmern Klatextpasswörter, die jmd. auslesen könnte, wenn derjenige sowieso Zugriff aus alle Daten hat? Passwörter sind nur ein kleines Zahnrädchen des Datenklaus.. Theoretisch müsste man ja alles verschlüsseln, damit ja niemand was sehen kann 
Wer kennt denn noch alles die Faustregel "Überall, wo Daten übertragen werden, kann man diese auch manipulieren."

kleiner Edit:

Arthoria läuft auf einer MySQL Datenbank.

Fehler per Definition. Arthoria nutzt nur MySQL-Datenbanken zur Speicherung von Daten in mehrdimensionalen Feldern. Auf diese wird per php-Skripte zugegriffen um etwas zu vergleichen oder etwas zu verändern.

[nazrek]

Und wie ich schon schrieb: was kümmern Klatextpasswörter, die jmd. auslesen könnte, wenn derjenige sowieso Zugriff aus alle Daten hat? Passwörter sind nur ein kleines Zahnrädchen des Datenklaus..

Wie mborrak sagte und ich meinte: "aber im grunde genommen hast du recht, man sollte versuchen den user[den DAU] vor sich selbst zu schützen."

kleiner Edit:
Fehler per Definition. Arthoria nutzt nur MySQL-Datenbanken zur Speicherung von Daten in mehrdimensionalen Feldern. Auf diese wird per php-Skripte zugegriffen um etwas zu vergleichen oder etwas zu verändern.

Meinte ich natürlich. Wie dynamische Website funktionieren weiß ich - nichtsdestotrotz: Umstellung auf hashed Passwörter ist kein großer Akt.

[TheLightPrince]

ich kann mich an diverse Charaktere erinnern, die sich mit ihren Stammsittern angefeindet hatten und ihr Passwort nie geändert haben und irgendwann ohne Rüstung und Inventar dastanden.. und - oh wunder! - einen Tag später hatten sie ihren Char wie vor dem Anschlag wieder gehabt.. Spielst vielleicht nicht lang genug, um solche Fälle mitbekommen zu haben.

das hab ich tatsächlich noch nie mitbekommen in meinen inzwischen 3 jahren spielzeit. naja... also wenn 3 jahre zu wenig spielzeit sind, kanns net sehr oft sein^^

Xeri gibt ja auch nie etwas zurück, was in großen Ausmaßen bei Bugs verloren gegangen ist.. siehe die Laggs bei dem SK, wo ALLE +3 AP haben, da es einfach unspielbar war.. Zufall?! 

Das das eine etwas andere Situation ist, ist dir schon bewusst oder? :D

Mborrak wolte bloß wieder auf das Ursprungsthema hinleiten.

berechtigt. lassen wir die diskussion einfach. wenn iwann was passiert, ist es halt so, wenn nein, dann ist ja alles gut

Und wie ich schon schrieb: was kümmern Klatextpasswörter, die jmd. auslesen könnte, wenn derjenige sowieso Zugriff aus alle Daten hat? Passwörter sind nur ein kleines Zahnrädchen des Datenklaus.. Theoretisch müsste man ja alles verschlüsseln, damit ja niemand was sehen kann 
Wer kennt denn noch alles die Faustregel "Überall, wo Daten übertragen werden, kann man diese auch manipulieren."

gut hab ich ne bissl andere Meinung zu. aber jedem seine Meinung.

Lg TLP

[Mborrak]

tld? jo war mein Fehler
ich meinte third level domain, also den hostname - sry, hätte nicht passieren dürfen dass das missverständlich ist.

@ltp ...

wenn du ein formular auf einer non ssl seite absendest, ist es dann verschlüsselt? o.o

[nazrek]

tld? jo war mein Fehler
ich meinte third level domain, also den hostname - sry, hätte nicht passieren dürfen dass das missverständlich ist.

Verstehe nur immer noch nicht, inwiefern das dabei helfen soll Lags zu vermindern.

[TheLightPrince]

@ltp ...

wenn du ein formular auf einer non ssl seite absendest, ist es dann verschlüsselt? o.o

denke mal mit ltp meinste mich den tlp^^
jupp sry ich hab facebook dazu gezwungen immer ssl zu verwenden, daher hab ich das problem net^^

Lg TLP

[Mborrak]

wenn im internen netz der hostname nicht richtig aufgelöst wird kommt es zu unterschieldichen und sehr schwankenden responses für die site. so beobachtet bei arthoria.de vs www.arthoria.de

wenn alles richtig konfiguriert ist, ist das nicht der fall, dass muss aber die infrastruktur zulassen und der admin entsprechend umsetzen.

sonst halte ich mich ab jetzt an voltan ... was hat das mit dem thema zu tun? (und aus)

@LTP ja meinte dich (sry)

[TheLightPrince]

wenn im internen netz der hostname nicht richtig aufgelöst wird kommt es zu unterschieldichen und sehr schwankenden responses für die site. so beobachtet bei arthoria.de vs www.arthoria.de

wenn alles richtig konfiguriert ist, ist das nicht der fall, dass muss aber die infrastruktur zulassen und der admin entsprechend umsetzen.
[...]
@LTP ja meinte dich (sry)

löl wieder falschrum^^

naja... hat auch noch was mit den unterschiedlichen DNS Servern zutun. da kannste in deinem internen netzwerk einrichten was du willst... wenn die verzapft sind, sind die unterschiedlich schnell und du kannst nix ändern.

genau, aber jezz mal btt

Lg TLP

[Voltan]

Genau. deshalb bekommt man ja auch Items erstattet, die beim zünden nicht funktioniert haben, oder AP die durch Bugs verloren gegangen sind... weil Xeri alles überblicken kann und das dann gerne den spielern wieder zurückgibt *ironie ende* (da gabs schon nen paar mal leute die ne menge geld wegen nem Bug verloren hatten... da war nix möglich zu tun, um die zu entschädigen...)

Das das eine etwas andere Situation ist, ist dir schon bewusst oder? :D

Wieso sollte das was anderes sein? ist doch auch nur ein Bug..
Xeri hat schon immer wieder Entschädigungen rausgeworfen wie ein Blöder, nur, damit der Pöbel Arthorias besänftigt ist.
ein paar größere dinge, die mir spontan einfallen:
4 Stunden Serverdown - gebundener SdE (den hab ich übrigens heute noch)
zu starke gildenmonster - Xeri kämpfte sogar mit
zu starke Monster in den Minen - Heilungen ohne Ende..
diverse Sofortevents (z.B.spontane Kasinoeröffnung) bei Serverausfällen.
uvm.

das waren wohl auch alles nur "Features"? Hauptsache immer wieder mehr und mehr wollen..
Wenn ne Rolle nicht funktioniert: tja, kommt vor..
Für einzelne Sachen, die eben nicht funktionierten, kann man bei tausenden Spielern nicht jeden Spieler besänftigen.. bei dingen, die eben aber wesentlich mehr betroffene haben oder gravierend waren, wurde immer so viel wie möglich getan..
Und bei Selbstverschulden ala "wääh, ich hab meinen +9 kugligen diafrosti [9] zerdeppert!".. naja.. kein Kommentar..
Aber welche Fälle du jetzt genau meinst, ist aber auch egal. Auf alle Fälle kam dein Post so rüber wie "der tut ja eh nie den Spielern was gutes, wenn was verkehrt läuft.." falls ich das falsch aufgefasst haben sollte, dann verzeih.

Aber wie schon von dir und Mbo gesagt: Endlich wieder B2T.

So far

[nazrek]

genau, aber jezz mal btt

Was war denn Topic?
Ah ja, right.

Super job Xeri, keep the good work up. Und so. Herzchen und so. Gänseblümchen, awww

[Mborrak]

löl wieder falschrum^^

nö richtig rum ... internes netz ist sicher nicht meins sondern das des providers, hättest du aber beim verfolgen des OT-threads auch selbst herausfinden können

nun aber wirklich schluss - xeri zahlt dafür dass das alles wieder rund läuft. und bemüht sich auch bei den ganzen dingen immer alle zufrieden zu stellen!

und vergesst bitte eins nicht - dieses spiel ist KOSTENLOS! da darf es auch einige dinge geben die nicht rund laufen ...