Als Clanloser kannst du dich bei anderen Clans bewerben
Wer will denn schon einen Loser in seinem Clan haben
Clanlos = Clanloser
Du solltest das MD5 gehashte Passwort des Users nicht im POST Response reinhauen.
Deine PHP Funktion "getProfil" übermittelt das gehashte Passwort des Users.
Dieses kann man verwenden, um alle Daten zu erhalten.
z.B die Email, die PN's usw.
Dies empfinde ich als große Sicherheitlücke.
Falls du nicht weißt was ich meine, kann ich dir gerne ein Video o.ä erstellen.
Mfg
Thomas
Ja an der Sicherheit haperts bei mir noch. Kannst du mir vllt sagen wie ich das am besten lösen kann? Ich muss iwie das pw übermitteln, damit nicht aussenstehende einfach die querys ausführen können.
Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von „kassor“ ()
Meine Frage ist eher wieso du es dann nochmal zurückgibst.
Das ist der Response der Funktion "getProfil" :
Und ja, ist mein eigener Account
- das Umrandete ist der MD5 Hash meines Passwortes.
Wieso muss da der Hash drinnen stehen?
Das Programm selbst hat ihn ja.
Den Hash per POST zu übergeben sehe ich jetzt noch nicht als Problem.
Aber so könnte man die Hashs/Emails aller Users auslesen, alles was man braucht ist den Usernamen.
Ahhhh jetzt seh ich's. Vielen Dank für den Hinweis. Sollte jetzt behoben sein
Ich hab überhaupt nichts gegen wenn jemand nach Sicherheitslücken guckt. Nur bitte bescheid geben und nicht ausnutzen.
Großen Dank noch mal
Informationen über das Aufrufen von JIT-Debuggen
anstelle dieses Dialogfelds finden Sie am Ende dieser Meldung.
************** Ausnahmetext **************
System.NotSupportedException: Das angegebene Pfadformat wird nicht unterstützt.
bei System.Security.Util.StringExpressionSet.CanonicalizePath(String path, Boolean needFullPath)
bei System.Security.Util.StringExpressionSet.CreateListFromExpressions(String[] str, Boolean needFullPath)
bei System.Security.Permissions.FileIOPermission.AddPathList(FileIOPermissionAccess access, AccessControlActions control, String[] pathListOrig, Boolean checkForDuplicates, Boolean needFullPath, Boolean copyPathList)
bei System.Security.Permissions.FileIOPermission..ctor(FileIOPermissionAccess access, String[] pathList, Boolean checkForDuplicates, Boolean needFullPath)
bei System.IO.Directory.CreateDirectory(String path, DirectorySecurity directorySecurity)
bei updateSystemDotNet.Internal.Log..ctor()
bei updateSystemDotNet.Internal.Log.get_Instance()
bei updateSystemDotNet.updateController.prepareUpdateCheck()
bei updateSystemDotNet.updateController.checkForUpdatesAsync()
bei GamerGath.frmLogin.frmLogin_Load(Object sender, EventArgs e)
bei System.Windows.Forms.Form.OnLoad(EventArgs e)
bei System.Windows.Forms.Control.CreateControl(Boolean fIgnoreVisible)
bei System.Windows.Forms.Control.CreateControl()
bei System.Windows.Forms.Control.WmShowWindow(Message& m)
bei System.Windows.Forms.Control.WndProc(Message& m)
bei System.Windows.Forms.Control.ControlNativeWindow.WndProc(Message& m)
bei System.Windows.Forms.NativeWindow.Callback(IntPtr hWnd, Int32 msg, IntPtr wparam, IntPtr lparam)
************** JIT-Debuggen **************
Um das JIT-Debuggen (Just-In-Time) zu aktivieren, muss in der
Konfigurationsdatei der Anwendung oder des Computers
(machine.config) der jitDebugging-Wert im Abschnitt system.windows.forms festgelegt werden.
Die Anwendung muss mit aktiviertem Debuggen kompiliert werden.
Wenn das JIT-Debuggen aktiviert ist, werden alle nicht behandelten
Ausnahmen an den JIT-Debugger gesendet, der auf dem
Computer registriert ist, und nicht in diesem Dialogfeld behandelt.
Du solltest die möglichkeit bieten das die Bewertung die man im Profil noch selber bearbeiten kann durch andere User entsteht also andere die GamingskillZ bewerten und nicht man selbst...wäre zumindest ne Idee
Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von „Thorstian“ ()
------------------
System Information
------------------
Time of this report: 1/14/2014, 18:46:05
Machine name: THORSTIAN
Operating System: Windows 8 64-bit (6.2, Build 9200) (9200.win8_gdr.130531-1504)
Language: German (Regional Setting: German)
System Manufacturer: Hewlett-Packard
System Model: p6-2370eg
BIOS: 8.11
Processor: Intel(R) Core(TM) i7-3770 CPU @ 3.40GHz (8 CPUs), ~3.4GHz
Memory: 8192MB RAM
Available OS Memory: 8148MB RAM
Page File: 6050MB used, 7729MB available
Windows Dir: C:\windows
DirectX Version: DirectX 11
DX Setup Parameters: Not found
User DPI Setting: Using System DPI
System DPI Setting: 96 DPI (100 percent)
DWM DPI Scaling: Disabled
DxDiag Version: 6.02.9200.16384 64bit Unicode
Sieht aus wie eine Fehlermeldung in updatesystem.net
Das wäre natürlich echt uncool. Ist der Entwickler von updatesystem.net noch im Forum aktiv?
Würde es denn was bringen den Kompatibilitätsmodus anzuwenden?
Ich kann nix mehr in die Shoutbox schreiben hab ich gerade gesehn o.o Wenn ich was schreibe und abschicke steht da, das die Nachricht erfolgreich gesendet wurde und dann steht da aber nichts in der SB
Metal-Schweiz wurde nun offiziell veröffentlich nach all den Jahren
Danke @Orion.
Habe den Bug gefunden und wird beim nächsten Update wieder funktionieren.
//Edit: Update 1.0.1.3 online:
- Shoutbox bug verhinderte das neuladen der Einträge - gefixxt.
- Admincentermenü öffnet direkt den gewünschten Tab
- Claninformationen werden nun vollständig geladen
Habe auch einen neuen DL als Anhang reingestellt. Der Inhalt ist aufgeräumter und sollte eher genutzt werden als der alte.
Dieser Beitrag wurde bereits 3 mal editiert, zuletzt von „kassor“ ()
Ich habe eine neue wichtige Funktionen implementiert. Und zwar geht es um die Team-Administration.
Update 1.0.1.5:
- Admincenter: Das Hinzufügen,Bearbeiten und Löschen von Teams wurde implementiert
- Einstellungen werden nach einem Update beibehalten
Und wieder ein Update...
Update 1.0.1.7
- Admincenter: Shoutbox einträge können gelöscht werden
- Admincenter: Topnews können nun veröffentlicht werden
- Sicherheitsänderungen vorgenommen
Neue Version wurde veröffentlicht. Dieses Update ist recht groß und wichtig, da es nun möglich ist Mitglieder den Teams zuzuordnen.
Update 1.0.2.0:
- Admincenter: Mitglieder können nun den Teams zugeordnet werden. Mitglieder können auch gelöscht und bearbeitet (Teamposition) werden.
- Nachrichten können nun ganz angezeigt werden
- Einige Fehler wurden behoben
Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von „kassor“ ()
Wow aber Achtung! Langsam wird das Programm sehr umfangreich
Werde dies sicherlich weiterverfolgen
Das freut mich
Ja ich bin auch sehr vorsichtig geworden beim Entwickeln. Aber genau das finde ich gerade so spannend an diesem Projekt.
Ich hoffe das sich noch mehr aktive Tester melden und paar Testberichte schreiben würden. Denn nur so kann man Bugs finden und beheben.
Tu ich doch immer wenn ich Zeit hab naja bis auf den Absturz nach einer Weile hatte ich noch keine grossen Bugs, aber dieser Absturz hab ich nun schon auf 2 Rechnern. Bekomme da einfach die Meldung das Gamergath.exe nicht mehr funktioniert und fertich.
Metal-Schweiz wurde nun offiziell veröffentlich nach all den Jahren