VMSR Betatest Bugreport

[Kraemer84]

So mir ist heute mal was aufgefallen. Ich hab jetzt den ersten Sponsor eingebaut und irgendwie den Wartungsmodus vergessen also hat sich heute 439454 bei mir angemeldet.

Hat 10 Forcedklicks und damit 28.000,00 Klammlose verdient

und hat jetzt einen Kontostand von 6.000.028.000,00 ??

in Buchungen ist nichts verzeichnet

ist da noch ein Fehler oder war das schon der erste Hacker ?

zum glück ist mein ef im moment leer das hätte böse ausgehen können


/edit ok also der user ist schonmal ein böser

(1) ClixKing vergibt 0 Klammern · 19. März um 20:16
Klickfaker/Botuser! Gesperrt auf LoseKing.de. Finger weg!

[NeoGriever]

Ah. Sorry. Das ist definitiv noch ein Debug-Fehler.

Wird umgehend korrigiert mit Korrekturanweisung hier im Beitrag beschrieben zur Behebung. O_O

Dass ich DAS übersehen konnte o_O

Korrektur:
Datei: /content/intern/anmelden.php
Zeile: 140

Code:

db_query("INSERT INTO ".$db_prefix."_kontodaten (uid,passwort,status,hinweis,kontostand) VALUES ('".$_POST['uid']."','".md5($_POST['passwort_1'])."','1','','6000000000')");

Dort siehtman schon, wo der Fehler liegt. Die 6000000000 zu 0 ändern

Code:

db_query("INSERT INTO ".$db_prefix."_kontodaten  (uid,passwort,status,hinweis,kontostand) VALUES  ('".$_POST['uid']."','".md5($_POST['passwort_1'])."','1','','0')");

Fertig.

Der Fehler war schlichtweg ein "hab ich übersehen"-fehler. Dieser war drin um halt Debug-Tests problemlos durchführen zu können. Da ich mich bei der Installation nur als Admin angemeldet hatte, war dann das ganze von mir übersehen worden.

Edit:
1. Ich denke ich werde das Setup so ändern, dass die seite grundsätzlich im Wartungsmodus startet.
2. Unabhängig des Faker-Users hat er doch geholfen. Sonst wär uns der Fehler nich so schnell aufgefallen.
3. Ich werde gegebenenfalls eine Global-Ban-List mit einbauen, welche eine zentralanlaufstelle bietet, um user auf fast allen seiten auszusperren. Aber auch um einzelne ausgesperrte user zuzulassen. Inklusive abschaltbarkeit usw. So kann man faker/hacker/botuser sehr schnell global loswerden.

[Worka]

...
3. Ich werde gegebenenfalls eine Global-Ban-List mit einbauen, welche eine zentralanlaufstelle bietet, um user auf fast allen seiten auszusperren. Aber auch um einzelne ausgesperrte user zuzulassen. Inklusive abschaltbarkeit usw. So kann man faker/hacker/botuser sehr schnell global loswerden.

Die Idee ist schon etwas älter.
Die Frage ist, wer entscheidet wer in diese Liste reinkommt oder nicht?

Viele Admins die leider gar keine Ahnung von Ihrem Script haben, haben schon User wegen den unmöglichsten Dingen des Fakens bezichtigt.
Darunter Dinge wie zu schnelles Klicken mit gedrückter STRG Taste oder das Gewinnen von echten Losen an Slots im Spiel mit Bonuslosen.

Da werden gern auch mal ehrliche User des Fakens bezichtigt.
Ich wurde mal auf einer Seite gesperrt, weil ich den Autosurf aus den Lesezeichen aufgerufen habe, anstatt mich erst einzuloggen und dann den Autosurf per Link zu starten.

So eine Art glober Pranger ist schon nicht unkompliziert.

[NeoGriever]

Es wird moderiert.

Jeder, der über diesen "globalen Pranger" gebannt/gesperrt wird, kann sich dort melden und seinen Fall schildern. Ist dieser Fall plausibel und nachvollziehbar, wird zunächst der Admin, wessen "pranger-eintrag" zum bann führte befragt und die sachlage geschildert. Gibt es vom Admin entweder eine Antwort der positiveren sorte ("habe ihn gebannt, weil er scheinbar ..." blabla) oder antwortet der Admin garnicht, wird der User wieder freigeschaltet

Das Bann-System wird auf Basis von Punkten (Wie ein Strafkatalog) basieren. Ab einer bestimmten Punktezahl-Menge wird der User gebannt. Die Punkte lassen sich nicht abbauen, außer durch gerade geschilderte Methode der Klärung.

Zum Schutz vor Spam-Prangereien wird das System selbstständig auf die Häufigkeit der Pranger-Einträge je Seite ($_SERVER["SERVER_NAME"]) achten und übermäßige Prangereien für Moderatoren anzeigen, dass diese genauer geprüft werden können. Sollte ein Seitenbetreiber absichtlich falsche Pranger-Angaben machen, werden sämtliche Pranger-Einträge von dieser Seite deaktiviert/gelöscht und die Nutzung des Prangers wird für die Seite zwangs-ausgeschaltet. Jegliche durch die gelöschten Pranger-Einträge gebannten User werden entbannt.

Pranger-Einträge haben sofortige Wirkung. Um Hackern keine Chance zu geben. Man kann auch Schlüsselpunkte (V-Check) als Pranger-Automatik-Auslöser integrieren. Werde dafür eine API dazubauen, welche im VMSR direkt integriert ist.

Der Pranger wird mittels eines Sicherheitsschlüssels, welcher ähnlich der Schlüsselgenerierung von Paypal, durch insgesamt 3 Abfragen geschützt wird. Ohne diesen Sicherheitsschlüssel ist es nicht möglich, Pranger-Einträge zu erstellen. Gebannte User werden ohne Sicherheitsschlüssel übermittelt.

Es ist quasi ähnlich meines Projektes http://eul.woetroep.de/, welches auf einem ähnlichen Prinzip beruht.

Das aufwändigste wird die Moderation sein.

Aber wie du siehst, hab ich mir da schon Gedanken gemacht. Falls du noch Angriffslücken siehst, sag bescheid.

[Worka]

... Man kann auch Schlüsselpunkte (V-Check) als Pranger-Automatik-Auslöser integrieren. Werde dafür eine API dazubauen, welche im VMSR direkt integriert ist.
...
Aber wie du siehst, hab ich mir da schon Gedanken gemacht. Falls du noch Angriffslücken siehst, sag bescheid.

Da sehe ich schon mehr als ein Problem.
Z.B. nur weil der V-Check bei einem User schlecht ist, muss er noch lange kein Faker sein.
Diesen V-Check Wert dann als Kriterium für eine automatische(!) Prangermeldung zu nutzen halte ich für mehr als bedenklich...

Alleine die Tatsache dass die User erstmal automatisch und "grossflächig" gesperrt werden und dann praktisch nach der Sperrung die Feststellung Ihrer Schuld oder Unschuld "beantragen" sollen finde ich nicht so gut.

Was passiert übrigens bis zur Feststellung der Schuld/Unschuld?
Bleiben die User gesperrt (obwohl sie ggf. gar nichts gemacht haben) oder wird jeder der Einsprüche hat, erstmal wieder "befreit"?

Wie verhinderst Du dass Admin X, welcher die Rally auf Seite Y gewinnen will, User Z, welcher in der Rally ein starker Konkurent ist, als Faker meldet um dann nach Ausschaltung der Konkurenz die Rally zu gewinnen?

Zu prüfen ob Admin X die Rally auf diese hinterhältige Art gewonnen hat, fällt auch schwer, wenn Admin X unter dem Namen A einen zweiten Account hat und diesen zur Fakermeldung verwendet.

Da könnten sich so einige Probleme ergeben.

[NeoGriever]

- Wegen z. b. V-Check. Da greift das Punkte-System. Darüber hinaus: Wer dauerhaft trotz vielem Geklicke einen V-Check unter 10% hat, der sollte sich Gedanken machen.
- Sperrung erfolgt erstmal nur auf der entsprechenden Seite, wo der Pranger-eintrag herkam.
- Prüfung befreit auf der Seite NICHT vom Pranger. Erst, wenn die Unschuld erwiesen wurde.
- 2 Wochen zählt die Sperrung auf der Pranger-Auslösenden Seite. Erfolgt keine Prüfungsanfrage, weitet sich die Sperrung auf alle Seiten aus, welche den Pranger nutzen.
- Ist eine Prüfung eingeleitet worden, verfällt die Umstellung auf die globale Bannliste bis zur Fertigstellung der Prüfung. Somit ist man während der Prüfung zwar vor einem globalen Bann geschützt, weitere Pranger-Einträge von anderen Seiten unterliegen aber weiterhin der 2-Wochen-Regel.
- Sollten solche "Ralley-Konkurrenz"-Fälle auftreten, fliegt der Admin aus dem System. Fake-Meldungen werden schlichtweg hart verurteilt. Und ich denke mal, ein User, der in einer Ralley rausgeworfen wird, wird sich sehr wahrscheinlich auf der Seite als aktiver User nicht mehr blicken lassen.

Das Punkte-System wird auf mehrere Ebenen aufgeteilt. Kleine Delikte (V-Check-Wertung, Falsche IP (Kann ja auch nen UMTS-Stick sein), Doppelaccounts usw.) haben eine niedrige Punktewertung. Schwere Delikte (Botusing, Hacking, usw.) hingegen haben eine hohe Punktewetung.
Wird ein bestimmter Punktewert überschritten (sehr hohe Delikte-Punktewetungen werden häufig direkt diese Schwelle überschreiten, jedoch auch eindringlicher geprüft.), erfolgt der Bann.

Nutzt man das Pranger-System, ist zwangsläufig auch der globale Log aktiviert. Um Aktionen der User direkt nachvollziehen zu können. Der globale Log speichert jede Aktivität auf der Seite. Welcher User zu welcher Uhrzeit auf welcher unterseite der Seite mit welchen Session-, Post sowie Get-Daten unterwegs war. Somit kann man recht schnell fake-aktionen aufspüren.

Das frisst natürlich einiges an Speicher. Aber ich bin noch am überlegen, wie ich diese informationen komprimieren kann.

[NeoGriever]

So.

Ich habe letztens ne kleinigkeit gebastelt.

http://zuckercraft.de/minislot/

Das ganze werde ich nur im VMS-R kostenlos einbauen. Werde aber lizenzrechtlich direkt darauf verweisen, dass es NUR für das VMS-R kostenlos ist. Für das VMS sowie das FWX wird es das auch geben, jedoch für 50.000.000 Lose.

Die Demo unter dem Link basiert noch auf Zufall und ist noch mit keiner Jquery-API verbunden. Also nicht wundern. Wie das Spielprinzip am ende aussehen wird, werd ich nicht verraten. Erst wenn es fertig ist.

Der gesamte Slot basiert auf CSS und Jquery und ist 100% W3C-Valide. Und das im XHTML-Strict-Mode.

Das Script darf ohne Genehmigung nicht verändert werden. Der CSS-Part ist davon ausgeschlossen. Die Anzahl der "Rollen" wird auf 6 reduziert. Kann aber leicht erweitert werden.

Zu sagen wäre noch: Der Slot wurde im aktuellen Google Chrome, aktuellen Firefox und IE 8+ getestet. Im IE gibt es minimale optische unterschiede. Funktionsweise ist jedoch davon unbeeinflusst.

Was haltet ihr davon?

[Kraemer84]

Zeile 12 und Zeile 8 in index.php?content=/verdienen/betteln4

jeweils ein / zuviel nach <a href="<?php echo $domain;?>

ansonsten wartungsmodus hakt immer noch

denk das wars dann aber auch so langsam ^^

[Xenon]

Das ganze werde ich nur im VMS-R kostenlos einbauen. Werde aber lizenzrechtlich direkt darauf verweisen, dass es NUR für das VMS-R kostenlos ist. Für das VMS sowie das FWX wird es das auch geben, jedoch für 50.000.000 Lose.

Das Script darf ohne Genehmigung nicht verändert werden. Der CSS-Part ist davon ausgeschlossen. Die Anzahl der "Rollen" wird auf 6 reduziert. Kann aber leicht erweitert werden.

Hey,
Du hast einen denkfehler, den schon viele hier gemacht haben. Wenn ich eine Lizenz erwerbe (z.b. fürs vms-r) darf ich diese für den eigengebrauch, den code meinen bedürfnissen anpassen und auch an das jeweilige script. nur mal so als anmerkung, gab schon mehrere streitigkeiten hier. Kannst die SuFu hier nutzen
KEINE RECHTSBERATUNG ODER ÄHNLICHES

2. Wenn ich einen Lose Slot an ein anderes Script anpassen lassen möchte benötige ich eine Umbau Lizenz?

Zu 2: Du kannst den Slot umbauen wenn du nur eine E-Lizenz hast... Aber nur zum Eigengebrauch, also ein Verkauf wäre dann nicht gestattet, dafür gibt es dann die Umbau Lizenzen.

MfG

Hab dir hier mal was aus der SuFu rausgesucht, dementsprechend, ich holle mir eine Lizenz vom vms-r (villeicht mit dem download dessen, erwerbe ich direkt eine lizenz) und darf sie wie gesagt umbauen auf meine eigne systeme


KEINE RECHTSBERATUNG ODER ÄHNLICHES

[NeoGriever]

Dieser Slot darf kostenlos NUR für das VMS-R verwendet werden. 'Optische' Anpassungen sind erlaubt.

Dieser Slot kann für das VMS erworben werden. Optische sowie interne Anpassungen der VMS-Version des Slots sind erlaubt. Ein Erwerb des Slot's für das VMS oder FWX erlaubt keine Manipulation am VMS-R-Slot.

Meine Güte. Du Haarspalter.

Also nochmal ganz kurz und bündig: Es ist für's VMS-R kostenlos. Darfst aber damit nicht rumexperimentieren. Wenn du es fürs VMS oder FWX kaufst, kannst du mit den jeweiligen Versionen basteln, wie du willst. Aber nicht mit der VMS-R-Version. Verstanden?