Guten Morgen,

und zwar folgende Darstellung.

Mit erschrecken musst ich heute feststellen, dass es möglich ist, mit der surfbar, die viele Loseseiten nutzen, zu faken.

Man kann die Surfbar auf mehreren Rechnern laufen lassen, ohne das man es mitbekommt.

Das prob daran ist, man kann es als webbie nur schwer feststellen, da trotz allem die Bannerviews bei den sponsoren bezahlt werden.

Ich habe es testen lassen und selbst getestet. Wir haben die surfbars so gestartet, dass die bannerwechsel nicht zur derselben zeit stattfinden.

Wir mussten feststellen, dass wir auf beiden surfbars verschiedene Banner dargestellt bekamen, und der Gesamttopf der Surfbar verschiedene Stände hatte.

Könnte das mal irgendwie mal geprüft und ausgewertet werden. Kann ja auch sein, dass ich falsch liege.

wenn es aber wirklich tatsache ist, könnte man mal nen update der surfbar machen, dass dies nicht mehr geschehen kann.
Ich wurde nämlich auch erst drauf aufmerksam, als ich eine surfrallye startete, wo der verdienst in der surfbar gewertet wird und ein user innerhalb von 2 tagen auf nen vorsprung vpn über 200.000 Punkten kam, wobei 1 Punkt = 1 Los ist

HI, hatte deine Zgangsdaten ja noch und gleich mla nachgeschaut. Du hast auf deiner Seite die Kontrolle, die extra dafür vorgesehen ist, deaktiviert.

Original von Zement
HI, hatte deine Zgangsdaten ja noch und gleich mla nachgeschaut. Du hast auf deiner Seite die Kontrolle, die extra dafür vorgesehen ist, deaktiviert.

könntest du mir das mal bitte ändern

Ok, habs mal wieder aktiviert. Leider hab ich die Surfbar nicht installiert, kann es also nicht testen ob alles klappt.

Original von Zement
Ok, habs mal wieder aktiviert. Leider hab ich die Surfbar nicht installiert, kann es also nicht testen ob alles klappt.

ich danke dir, werd es gleich mal austesten

der bug scheint immer noch da zu sein, der prozentuale anteil, sowie die surfzeit steigt zu schnell

es können immer noch mindestens 2 bars gleichzeitig angemacht werden und alle 30 sekunden steigt die surfzeit um ca 0,02h

Probier es bitte jetzt nochmal, normalerweise sollte nur alle 25 sek ein banner angezeigt werden, ansonsten kommt ein Fehlerbanner.

Original von Zement
Probier es bitte jetzt nochmal, normalerweise sollte nur alle 25 sek ein banner angezeigt werden, ansonsten kommt ein Fehlerbanner.

jepp sobald eine weitere surbar mit derselben ID gestartet wird kommt bannercheck fehlgeschlagen, auch aufm 2. pc irgendwoanders.

wenn eine davon wieder ausgemacht wird, läuft sie wieder normal weiter.

ich danke dir vielmals.

sind aber noch andere seiten wahrscheinlich betroffen, habs mal woanders ausprobiert, dasselbe prob

Also dann hier mal die Abhilfe, dann kann jeder nachschauen obs bei seiner Surfbar abgeschaltet ist ;)

Datei: surbar/banner.php

Dieser Code muß vorhanden sein und es darf nicht auskommentiert sein mit
// vor jeder Zeile oder /* und */ umdem Block.

Desweiteren darf in der DB-Abfrage NICHT $_GET[login] stehen



$bannercheck = mysql_fetch_array(db_query("SELECT * FROM ".$db_prefix."_surfbaruser WHERE uid='".base64_decode($_GET['uid'])."' and surftag = '".$tag_heute."'"));
if (($bannercheck['lastbanner']+25) > time()) {
echo '
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<html>
<head>
</head>
<body topmargin="0" leftmargin="0">
<table width="490" cellpadding="0" cellspacing="0" border="0">
<tr>
<td width="490" valign="top" align="left">Bannercheck fehlgeschlagen!</td>
</tr>
</table>
</body>
</html>
';
die();
}

Die Surfbar ist trotzdem ein Risiko ^^ es wird nämlich nur überprüft:


WHERE uid='".base64_decode($_GET['uid'])."'

da man ja seine Userid kennt, kann diese einfach codieren und dann auf die domain gehen z.B. www.domain.de/surfbar/banner.php?uid=#codierteid#
weil wenn mich nicht alles täuscht, dann wird in der datei auch gutgeschrieben die Werbung wird zwar angezeigt ^^ aber egal, ´weil man könnte die Aufrufe ja auch gezielt im 30 Sekundentakt per Cronjob aufrufen, und die Aktivitätsabfrage erscheint IMHO auch nicht.

Wenn ich da falsch liege bitte korrigieren :) ich weis nur als ich noch meine Seite mit Surfbar hatte, ging das....

aber so ganz 100%ig scheint das mit dem schutz zu funktionieren. Denn obwohl nur eine surfbar online ist, kommen ca alle drei banner der hinweis.

bannercheck fehlgeschlagen

sprich jetzt sichert er zu gut ab :D

if (($bannercheck['lastbanner']+25) > time()) {

vllt. wechselt dein Banner nicht alle 25 Sekunden sondern alle 20 Sekunden???

Gruß
Gremlin

Original von ruegi83
aber so ganz 100%ig scheint das mit dem schutz zu funktionieren. Denn obwohl nur eine surfbar online ist, kommen ca alle drei banner der hinweis.

bannercheck fehlgeschlagen

sprich jetzt sichert er zu gut ab :D

mmh, ich habe die Surfbar nicht, vielleicht weiß jemand im welchem Takt die Surfbar die Banner wechselt, dann sollten noch 5-10 Sek draufgeschlagen werden.

sie wechselt alle 30 sekunden

probiers mal mit:

if (($bannercheck['lastbanner']+20) > time())

Original von Zement
probiers mal mit:

if (($bannercheck['lastbanner']+20) > time())

Er hat es doch gefunden, wir testen es gerade. das der erste banner nachm starten Bannercheck fehlgeschlagen ist, ist ja normal, war ja vorher keiner :D

Nun kommt es aber ungefähr alle 5 banner, das mit dem bannercheck fehlgeschlagen

Original von ruegi83

Original von Zement
probiers mal mit:

if (($bannercheck['lastbanner']+20) > time())

Er hat es doch gefunden, wir testen es gerade. das der erste banner nachm starten Bannercheck fehlgeschlagen ist, ist ja normal, war ja vorher keiner :D

Nun kommt es aber ungefähr alle 5 banner, das mit dem bannercheck fehlgeschlagen

mmh, leider kenne ich den Quellcode der Surfbar nicht, es müßte ml jemand sagen, welche Datei wann genau aufgerufen wird, dann könnten wir ischerlich dieses Problem lösen.

Original von Zement

Desweiteren darf in der DB-Abfrage NICHT $_GET[login] stehen



Bei mir stehts aber so drin:

$bannercheck = mysql_fetch_array(db_query("SELECT * FROM ".$db_prefix."_surfbaruser WHERE uid='".$_GET['login']."' and surftag = '".$tag_heute."'"));

Wie soll es richtig aussehen ?
Ich kann es ja nicht einfach weglassen ?

Grüße Thomas

Hi, das sollte drinne sein:



WHERE uid='".base64_decode($_GET['uid'])."' and

Habs gefunden und geändert.

Danke dir

Hi,
in meinem downgeloadeten Code stand der Code auf "Kommentar".
Ich hab's jetzt wie beschrieben abgeändert.

$bannercheck = mysql_fetch_array(db_query("SELECT * FROM ".$db_prefix."_surfbaruser WHERE uid='".base64_decode($_GET['uid'])."' and surftag = '".$tag_heute."'"));
if (($bannercheck['lastbanner']+25) > time()) {
...


geändert.
Hat mir aber nicht wirklich geholfen.
Ich kann die Surfbar trotzdem mehrfach starten, nur mit dem Unterschied, dass in allen gestarteten Instanzen häufiger die Meldung "Bannercheck fehlgeschlagen" auftaucht. :(
Habe ein wenig in der login.php rumexperimentiert, leider bisher ohne Erfolg.
Kennt jemand einen Code-Schnippsel mit dem sich bereits in der login.php (analog fehlerhaftes Passwort/User-Id) der Start einer weiteren Surfbar verhindern lässt?

Man kann immer faken :(
Die meisten sicherheits lücken bei einer surfbar sind beim login (PW) ;)

Original von PhineasFreak
Ich kann die Surfbar trotzdem mehrfach starten, nur mit dem Unterschied, dass in allen gestarteten Instanzen häufiger die Meldung "Bannercheck fehlgeschlagen" auftaucht. :(


Genau das soll so sein, man kann mehrere Surfbars öffnen, aber es werden nicht mehr Banner bzw Surfzeit gezeigt/gezählt.

Original von Zement
Genau das soll so sein, man kann mehrere Surfbars öffnen, aber es werden nicht mehr Banner bzw Surfzeit gezeigt/gezählt.

Leider stimmt das nicht so ganz. Der Prozentsatz des Pottanteils steigt trotzdem!
Damit sind die anderen, ehrlichen Surfbaruser betrogen... :(
Werde mal weiter mit der login.php experimentieren.
Es ist ja auch mit 'ner DB-Query festzustellen welcher User mit der Surfbar surft.
Dazu gibt's hier irgendwo 'n Code-Schnippsel. Darüber müsste doch auch der Start von weiteren Surfbars zu verhindern sein... ;)

LG
Phin

Habe eine Lösung gefunden wie sich der Start einer 2. Surfbar verhindern lässt:
folgende Zeilen der login.php


$usercheck = db_query("SELECT * FROM ".$db_prefix."_kontodaten WHERE uid='".base64_decode($_GET['uid'])."' and passwort='".md5(base64_decode($_GET['pws']))."' and status = '1'");
if (mysql_num_rows($usercheck)) {
echo '1';
} else {
echo '0';
}


gegen die hier austauschen:



$usercheck = db_query("SELECT * FROM ".$db_prefix."_kontodaten WHERE uid='".base64_decode($_GET['uid'])."' and passwort='".md5(base64_decode($_GET['pws']))."' and status = '1'");
if (mysql_num_rows($usercheck)) {
$tag_heute = mktime(0,0,0,date("m"),date("d"),date("Y"));
$online = mysql_fetch_array(db_query("SELECT * FROM ".$db_prefix."_surfbaruser WHERE uid='".base64_decode($_GET['uid'])."' and surftag = '".$tag_heute."'"));
if ($online['lastbanner'] >= (time() - 30)) {
echo '0';
}
else {
echo '1';
}
}
else {
echo '0';
}


Jetzt nur noch die Login-Fehlermeldung in VB anpassen, fertig.
(hab leider kein VB, musste deswegen diesen Workaround basteln ud Fehlermeldung mit Hex-Editor anpassen... :( )

LG
Phin