Ergebnis 1 bis 10 von 16

Thema: Skandal VCheck v4.1

Hybrid-Darstellung

Vorheriger Beitrag Vorheriger Beitrag   Nächster Beitrag Nächster Beitrag
  1. #1
    Administrator Avatar von Lokutos
    Registriert seit
    29.03.2008
    Beiträge
    3.147
    Also das mit dem passwort wahr ein Problehm beim Holstenjungs script
    habe ich mir mit ihm angeschaut er hatte einen normalen aufruf im browser des users gemacht woher du warscheinlich meinst das man es auslesen kann.

    mitlerweile ist es so gestalltet das der aufruf direkt von Sponsor -->Betreiber geht und der user Keinerlei möglichkeit hat diesen abzufangen.
    das sicherste währe natürlich wenn man die ip des aufrufes des sponsors sich nimmt und die sepichert in einer tabelle und dan für die vergütung der kampagne abgleicht ob die ip zum sponsor passt.

    MFG Lokutos
    SwissNetWorX - VMS Hosting / V-Server / Cloud-Server / Hosting

  2. #2
    Erfahrener Benutzer Avatar von jpwfour
    Registriert seit
    06.02.2008
    Beiträge
    3.717
    Zitat Zitat von Lokutos Beitrag anzeigen
    Also das mit dem passwort wahr ein Problehm beim Holstenjungs script
    habe ich mir mit ihm angeschaut er hatte einen normalen aufruf im browser des users gemacht woher du warscheinlich meinst das man es auslesen kann.

    mitlerweile ist es so gestalltet das der aufruf direkt von Sponsor -->Betreiber geht und der user Keinerlei möglichkeit hat diesen abzufangen.
    Lol, da vergeht einem ja echt alles, auf die Idee bin ich nichtmal gekommen, danke dafür.

    Aber ich denke, bei den meisten WNW kann man davon ausgehen, dass die Anfrage -> VCheck URL so abgeht, dass man sie nur abfangen könnte, wenn man diese Anfrage DNS seitig umleitet, und das ist dann doch etwas sehr viel Aufwand.

    Zitat Zitat von Lokutos Beitrag anzeigen
    das sicherste währe natürlich wenn man die ip des aufrufes des sponsors sich nimmt und die sepichert in einer tabelle und dan für die vergütung der kampagne abgleicht ob die ip zum sponsor passt.

    MFG Lokutos
    Jo, nur leider noch "userunfreundlicher" als das Passwort, da ja Sponsoren regelmäßig Ihre Server respektive IPs wechseln, etc. da wäre viel zu viel "Eigenarbeit" gefordert ^^
    Abgesehen davon, dass es ja theoretisch möglich wäre, eine Domain unter der selben IP zu haben, wobei das wohl eher auszuschließen ist, da sicher () jedes WNW ja nen eigene root hat und auch ne eigene IP, und keiner auf nem Webspace hostet () (ok, solche WNW sollte man eh von allem Ausnehmen, aber evtl sind das mehr, als man erwartet)
    Kill one man, and you are a murderer.
    Kill millions of men, and you are a conqueror.
    Kill them all, and you are a god.
    - Jean Rostand, Thoughts of a Biologist (1939)

  3. #3
    Erfahrener Benutzer
    Registriert seit
    08.07.2007
    Beiträge
    179
    jpwfour


    das mit den passwort hilft das auch mir bei hplose
    wir hatten gestern ja gestestet und hplose bekomme ich nie eine v check vergütung

    oder skandal hast du schon ein fix für das problem
    das bei mir hplose nicht geht aber AIn und DSN geht

  4. #4
    Benutzer
    Registriert seit
    29.11.2009
    Beiträge
    89
    Zitat Zitat von the-carnage Beitrag anzeigen
    jpwfour


    das mit den passwort hilft das auch mir bei hplose
    wir hatten gestern ja gestestet und hplose bekomme ich nie eine v check vergütung

    oder skandal hast du schon ein fix für das problem
    das bei mir hplose nicht geht aber AIn und DSN geht

    [OFF TOPIC an]
    Sry für Off Topic!

    Überprüfe nochmal ob du den Pfad zur vg_datei.php bei HPLose richtig drin hast. Diese ist oft der Fehler wieso nicht vergütet wird.
    Bzw hast du zusätzliche Aufendhalsdauer eingestellt? Diese vllt mal erhöhen und schauen obs dann geht.

    [OFF TOPIC aus]

    Ich empfehle Variante 2, da es immer mal sein kann der Sponsor den VCheck nicht von seinem Server aus läd und das Risiko des das PW offen versendet wird besteht.


  5. #5
    Erfahrener Benutzer Avatar von jpwfour
    Registriert seit
    06.02.2008
    Beiträge
    3.717
    Zitat Zitat von kakuzu Beitrag anzeigen
    ...
    Ich empfehle Variante 2, da es immer mal sein kann der Sponsor den VCheck nicht von seinem Server aus läd und das Risiko des das PW offen versendet wird besteht.
    In dem Fall sichert ja Variante #2 auch nicht ab, und das Passwort sollte ja auch ein eigenes sein, und nicht das EF/Mail/Adminforce-Passwort, denke das versteht sich von selbst.

    Am besten wäre es wohl, solche Sponsoren entweder gar nicht erst einzubauen, oder für die die Datei einfach kopieren und halt weiterhin vg_datei.php zu nennen, und alle anderen Sponsoren -> anderen dateinamen.
    Kill one man, and you are a murderer.
    Kill millions of men, and you are a conqueror.
    Kill them all, and you are a god.
    - Jean Rostand, Thoughts of a Biologist (1939)

  6. #6
    Erfahrener Benutzer
    Registriert seit
    22.07.2006
    Beiträge
    273
    Auch wenn der Thread schon älter ist:
    Bei http://www.ads2cash.de hat man keine Möglichkeit das Passwort direkt bei denen anzugeben. Das muss als Parameter an die Ziel URL angehangen werden.
    In solchen Fällen also: Witzlos ;-(

    Das selbe bei:
    http://www.ads4allweb.de
    http://www.busterzaster.de

  7. #7
    Erfahrener Benutzer
    Registriert seit
    26.08.2007
    Beiträge
    231
    Zitat Zitat von jpwfour Beitrag anzeigen
    Jo, nur leider noch "userunfreundlicher" als das Passwort, da ja Sponsoren regelmäßig Ihre Server respektive IPs wechseln, etc. da wäre viel zu viel "Eigenarbeit" gefordert ^^[...]
    Was spricht den hier gegen gethostbyname() in einem Tagescron?
    Wenn dann geprüft wird ob die Absenderadresse == Sponsorenadresse ist kann man doch das Passwortgedönse hintenan stellen.

    Das weitere Dienste, schlimmstenfalls unter anderer Leitung, auf den Servern laufen können Sponsoren doch verhindern in dem Sie einfach Werbung abbauen lassen, die gar nicht bei Ihnen gebucht wurde

    eaxo

  8. #8
    @ the-carnage

    wie soll ich was fixen, was ich nicht sehen kann. Merkwürdigerweise bist du der einzige der von HP-Lose nichts vergütet bekommt...Habe dir angeboten per ftp mal reinzuschauen, aber da kam ja dann keine Antwort mehr..Ne Glaskugel habe ich nicht und weis also auch nicht, was du da gezaubert hast.

    @der Rest (Gedankenanstoss)

    schonmal drüber nachgedacht, das die vg_datei auch nicht zwangsläufig vg_datei heissen muss?. Wen hindert es die Datei du_mich_auch_mal.php zu nennen und natürlich die Links dementsprechend anzupassen. Dann sollte das Thema eigentlich auch beseitigt sein. Vll sogar noch effektiver als das die Datei bei jedem gleich heisst und am Ende wieder ein PW benutzt wird, das der Admin für alles andere auch genutzt hat.

  9. #9
    Erfahrener Benutzer
    Registriert seit
    08.07.2007
    Beiträge
    179
    du kannst nur bestimmte dateien bekommen aber auf den ftp lasse ich niemand drauf weil da daten in bestimmten datein sind die nicht jeder wissen muss

    dann schreibe mir an welche email ich die forced.. usw dateien schicken kann

Ähnliche Themen

  1. Skandal VCheck v4.1 wieder umgehbar
    Von Punscha im Forum Support zu Addons & Erweiterungen
    Antworten: 0
    Letzter Beitrag: 20.02.2011, 15:03
  2. Skandal VCheck v4.1 umgehbar
    Von jpwfour im Forum Sicherheitslücken
    Antworten: 20
    Letzter Beitrag: 17.09.2010, 18:32
  3. Wie weitere Sponsoren in Vcheck Addon von Skandal aufnehmen?
    Von Rallef im Forum Support zu Addons & Erweiterungen
    Antworten: 0
    Letzter Beitrag: 20.08.2009, 02:38
  4. Adress-Skandal?
    Von dragon11 im Forum Webseiten
    Antworten: 94
    Letzter Beitrag: 22.05.2009, 18:59
  5. Anteilsaddon von skandal
    Von Youngboy im Forum Support zu Addons & Erweiterungen
    Antworten: 3
    Letzter Beitrag: 27.03.2009, 09:55

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •