Beiträge von Juicyfruit

    Hiermit will ich satirisch meine Meinung vertreten.

    higoka

    Dich macht es kein Stück besser wenn du in einem Forum das Problem der Retroscene postest obwohl das Hauptproblem dieses Forum ist.
    Wie Imadj sagte es wird Noob zu Noob diskutiert egal ob Steekarlkani, JNike oder die anderen.
    Beflücken wir das Text mal früher in der Retroscene gab es keine Plattform wo sich die Untermenschen der Retroscene sich Informationen austauschen konnten, dass heisst das sie auch nicht auf "Cool" tun konnten weil sie keine Person hatten.
    Jeder der ein Retro erstellen konnte hat sich die Informationen aus Ragezone oder Otaku geholt, die Mitarbeiter brauchte man nicht finden sobald das Hotel on kam und es auch besuchbar war , gab es einige Leute die wirklich ein Rank haben wollten.
    Probleme gab es nicht , alle Probleme wurden auf Ragezone gelöst.
    Ja es gab eine Retroscenen Plattforms aber dort waren keine Releases, Tutorials oder etc. (Welt.to etc.)
    Früher war es auch schwieriger sich ein vServer zu kaufen da es nur eine einzige Site gab wo man mit Paysafecard bezahlen konnte (Kein Offshore).
    Heute ist es normal sich ein vServer bei Webtropia zu kaufen, es ist Normal sich die Informationen und Probleme auszutauschen, es ist Normal das in der Shoutbox mehr beleidigt wird als im Reallife, es ist Normal das es Menschen gibt die ein Hotel beneiden und danach es downen wollen, es ist Normal das die Newcomer die wirklich was auf den Kasten haben keine Chancen gegeben werden.

    Agget , übrigends was willst du bezwecken ? higoka
    Seh zu wie du alleine dein Weg findest und ignorier diese Untermenschen (Abschaum der Gesellschaft)

    Typisches Retrotown-Kiddy Verhalten:

    Passt auf der typische Retrotown User guckt sich als erstes die Releases durch, dann geht er auf Hotels und kommentiert diese oft tut er es nicht weil er von der Community nicht ausgegrenzt werden will er hated erst rum wenn ein anderer Noob von Bekanntheitsgrad etwas höher ist.
    Er geht ins Hotel das hier vorgestellt wurden ist und schaut sich erstmal das CMS an, dann geht er ins Client und setzt sich hin bis ein Staff Mitglied kommt.
    Er tut auf cool und sagt Sätze wie z.B (SWF geklaut, Kack CMS, Kack Katalog, Katalog geklaut etc.)
    Er wird vorlaut und der Staffmitglied bannt ihn.
    Die Frage ist wer von den beiden das Recht hat vorlaut zu werden, der Retrotown User oder der Staff?
    Natürlich geht er dann in die Vorstellung labert von " Boah wurde gebannt ohne Grund, Kack Hotel etc."

    Merkt ihr was eig. los ist ?

    Nicht die Community ist schuld sondern ihr selbst!

    Soweit ich weis war aapoh mit einen anderen Namen in der alten Retroscene wo welt.to die Macht hatte aktiv.

    Für mich: TUNNY <- TUNNY ist die einzigste Person die in offiziellen Fanseiten von Habbo berichtet wurden ist.
    So ein Erfolg zum Fame hat keiner in der Retroscene geschafft.
    Er ist die einzigste Person.

    Das Kubbo Hotel nutzt Tokens im Housekeeping.

    Ganz einfach: Generiere einen Token beim Aufruf der was weiß ich.. Hotelalert Seite und speichere diesen
    in der Session ab. In dem Hotelalert Form fügst du dann so etwas hinzu wie etwa .
    Danach, wenn das Formular abgesendet wird, checkst du einfach ob das Feld "token" mitgesendet wurde und ob es den gleichen Token
    beinhaltet wie der, der vorher beim Aufruf der Seite generiert wird. Somit bist du wirksam gegen CSRF geschützt, da die externe Seite, auf der das Formular gefakt abgesendet wird, deinen Token nicht abrufen kann, und deshalb auch keine Aktion folgt.

    Cheers
    Steve Winfield


    Dann muss ich ja bei jeder input den token hineintragen bzw die variable zu den token...

    Pwah das wird eine Arbeit sein

    Es gibt normalerweise immer eine Rankabfrage im Housekeeping.
    Der Sinn von CSRF ist, dass nicht der Hacker das Formular um z.B. den Rank eines Users zu ändern absendet, sondern der Admin selber.

    Angenommen machen wir mal so


    if(isset($_GET['alarm] && $user->rank > 3))
    echo "it works"

    Er würde die isset nur ausführen wenn der user den rank 4 oder höher hat .

    Amsonsten würde nichts passieren.

    Und das mein ich.

    Zurzeit wurde wieder eine Lücke bzw sehr viele Lücken von der Gattung : crsf gefunden.

    Naja wie ihr wisst ist in der Housekeeping Sachen wie z.b News löschen , Editieren , Hinzufügen etc.

    All diese Scripts werden so ausgefürt news.php?add=blublub?desc=s
    Weil in der isset bzw in der $_POST noch keine genauere definition bzw mehrere If abfragen gibt kann ein ganz normaler Habbo mit einem Rank =1 den script ausführen .

    Wie kann ich mich schützen ?

    Praktisch gesehen muss man alle POSTs und GETs mit einem Token versehen.
    Man kann aber auch bei jeder isset eine rankabfrage reinhauen damit er den script nicht entern kann weil er den rank 1 besitzt.


    Thanks on Steve ;)