Beiträge von Mav

Zitat von Rainbow Dash

Wieder ein verzweifelter versuch an User zu kommen. Sulake versucht aber auch echt alles um an User zu kommen, richtig billig. Dazu können das richtig viele ausnutzen die im DE Aktiv sind.

Dieser "verzweifelter" Versuch könnte durchaus einen starken Erfolg einbringen. Die gewünschte Aktivität und Werbeinnahmen wird wieder erreichbar sein, wenn man die Nachricht natürlich stark publiziert.

Zitat

Da müssen Sie sich echt ein echt gutes Anti-Multiaccount System ausdenken

so far

Yannici

Oder auch nicht. Geschickt wäre es, wenn HabboDE absichtlich das abwehren Multiaccounts vernachlässigt. Der Gewinn wird erhöhert und die Langzeit Aktivität steigt somit um 100%! Wäre also nicht unklug so was zu beabsichtigen.

Zitat

Was findet ihr alle am Habbo so toll?

Alleine schon das sich neue Idee'n überlegt werden, die auch tatsächlich umgesetzt werden was man bei einem Retro nicht behaupten kann, macht das Habbo interessanter.

Dieser Vorgang könnte wirklich den erneuten "Erfolg" bringen. Allerdings fehlen noch mehrere Faktoren, wie zum Beispiel die Events, um das HabboDE wieder glänzen zu lassen. Aber spontan keine schlechte Idee!

Zitat von ApeeX

Selbst schuld, wenn man nach Syrien fliegt!

Genau, nämlich solche Menschen die andere Menschen vor der Kamera töten sind nämlich völlig normal und nicht psychisch gestört.

Man sollte nun endlich was dagegen tun. Bislang lässt man so was ungestraft davon kommen wegen der Angst, dass man als rassistisches Land angesehen wird.

Immer wieder gerne. Ich werde in den kommenden Tage mehr hinzufügen.

Hallo,
für die Leute die noch das ReCMS oder das HoloCMS benutzen und nicht gerade wirklich Ahnung in der Technik haben, wird dieser Thread wesentlich interessanter sein. Hier mit möchte in den Anfängern eine mögliche Hilfestellung geben, die das fixen von Buggs erheblich leichter macht. Ich konzentriere mich hier nur auf die Standard Sachen. Die Tipps dienen nicht zur Komplettlösung eines Problemes, lediglich nur eine kleine Hilfestellung.

Tipp Nr. 1 - Global error_reporting und vereinzelnde reports
Leider ist das ReCMS nicht darauf ausgelegt Fehlermeldungen innerhalb weniger Sekunden zu entdecken und zu fixen. Die Entwickler haben an jeder Ecke mit error_reportings gespart.

Falls ihr eigene Scripts im ReCMS verwendet wäre es ratsam oben im Script den Befehl "error_reporting(E_ALL);" auszugeben. Dieser Befehl zeigt dir alle Fehler im Script an, die man beheben sollte.

Falls du einen Fehler auf deiner me.php hast oder vielleicht irgendwo anders wird dir häufig eine Fehlermeldung ausgegeben die dich zu einer Zeile weiterleitet. Meist sind diese Zeilen MySQL Abfragen. Viele deren MySQL Abfragen sehen so aus...

<?php $sql = "SELECT username FROM users WHERE username = '".$username."'";

An sich ist im Script nichts falsch, doch meistens befindet sich in der Datenbank der Fehler, worauf viele Anfänger natürlich nicht kommen. Deshalb setzen wir auch "or die mysql_error();" ein. Das Semikolon verrutscht sich.

<?php $sql = "SELECT username FROM users WHERE username = '".$username."'" or die mysql_error();

Reloaden wir die Seite wo uns die Fehlermeldung angezeigt wurde, könnten wir eine ganz andere Fehlermeldung erhalten. Meistens steht dort, dass gewisse Tabellen in der Datenbank nicht vorhanden sind. Diese müssen ersetzt werden. Wurde diese ersetzt könnte wieder eine Fehlermeldung kommen. Ist die mit "WHERE" beschmückt handelt es sich dann um eine fehlende Spalte in der Tabelle. Der Spaltenname wird immer in der Fehlermeldung angezeigt. Einfach mit "Design Table (Navicat)" die Spalte nachtragen. Natürlich sind die Basics von MySQL gefragt ( varchar, int etc )

Tipp Nr. 2 - Strings escapen
Viele Strings, vor allem im Housekeeping, werden nicht mit mysql_real_escape versehen. Das könnte dazu führen, dass man SQL Injectionen ausführen könnte. Besonders im Housekeeping im Securitycode_field gibt es eine weit verbreitete Lücke die immer noch viele User mit sich tragen. Fragt mich bitte nicht wer so schlau sein kann und dort eine Lücke einbaut. Beispielweiße dort könnten wir direkt die POST Eingabe escapen.

$form_code = mysql_real_escape_string($_POST['codeword']);

Der Securitycode wäre geschützt und eine SQL_Injection ist dort zumindestens nicht mehr machbar. Testet dies bei vielen anderen Input_fields aus, vor allem im Index, da Sachen wie r_password und r_username teilweise sehr anfällig auf Cookies und SESSIONS reagieren und man dort einen großen Spielraum hat. Wir erinnern uns zurück an den ausgeführten Live-Hotel Hackangriff. Der Hacker konnte sich Cookies und ID's mittels über die beiden r_username und r_password fields holen und diese letztendlich gegen Live-Hotel ausführen.

Tipp Nr. 3 - XSS im motto_field fixen
Erschreckenderweise sind immer noch viele mit der motto_field XSS betroffen. Aktuellstes Opfer das iBabbo.ws das sich mit über 80 User am Tag hält. Mittlerweile wurde dieser Fehler bereits behoben, dennoch kann ich mir durchaus vorstellen das die XSS im motto_field bei einigen immer noch existieren.

Tipp Nr. 3.2 - XSS in den News fixen
Eine Lücke die zwar schon öfters gefixt wurde dennoch mehrmals vorhanden ist. Die News kann die ganze Homepage "zerstören". Verbietet auffällige Sonderzeichen wie ', ">

Tipp Nr. 4 - Zugriff kontrollieren
Kontrolliert den Zugriff auf bestimmte Seiten die nur für Mitarbeiter gedacht sind. Legt mehrere Passwörter an und unterschätzt die .htaccess nicht. Spart nicht mit boolean in den SESSIONS. Eine Sicherheitsmaßnahme die vorrangig ist, siehe Tipp 3 und 3.2!

Tipp Nr. 5 - Offline ziehen und arbeiten
Zieht niemals Sachen vom Netz wenn ihr auf eurem Server seid, ebenso solltet ihr keine Sachen vom Server aus ziehen. Maleware, Trojaner, Backdoors und Viren können den Server angreifbar machen.

Folgende Möglichkeiten können dazu führen, dass deine Tätigkeiten nicht in die Datenbank übertragen wird...

1 - Datenbank Fehler
Die Datenbank kann schwer beschädigt sein ist aber noch so funktionsfähig, dass diese sich mit der CMS Konfiguration identifizieren kann. Probier eine neue Datenbank aus und schau ob es dort klappt.

1.2 - CMS Fehler
Wenn das Wechseln der Datenbank keinen Erfolg zeigt wird wohl das CMS unvollständige MySQL Scripts beinhalten. Die unvollständigen Scripts
können so aussehen, dass diese nicht richtig verlinkt wird. Ein häufiger Fehler ist immer "SELECT FROM". Nämlich nach dem Select musst die
Tabelle aufgerufen werden.

2. Sonderzeichen/Umlaute werden gefiltert
Meistens werden Sonderzeichen in den News gefiltert. Das kann daran liegen, dass man unsauber programmiert hat. Ich empfehle da immer eine saubere Class zu benutzen die manuel filtert und nicht alles. Versuch einfach mal News ohne Umlaute oder Sonderzeichen zu schreiben. Sonderzeichen und Umlaute kann man allerdings freigeben indem man die META CHARSETS freigibt. Allerdings solltest du darauf aufpassen, dass ein Fremdzugriff nicht gewährleistet wird. Ansonsten können Sicherheitslücken schnell ausfindig gemacht werden.

3. Fehlende Spalten
Wenn die Datenbank unvollständig eingeführt wird können die benötigten Spalten, z.B die Spalten wo die News eingespeichert werden, fehlen. Ihr könnt die Spalten nachtragen.

4. Fehlermeldung erkennen
Meistens sind einfach die Tabellen nicht vorhanden. Im ReCMS ist oftmals der Befehl "error_reporting();" ausgeschaltet, demnach sind Buggs nicht auffindbar, zumindest nicht so einfach. Entdeckt ihr einen Fehler der euch zu einer Zeile weiterleitet und dies eine mysql Abfrage ist, wäre es nicht unklug vor dem Semikolon noch ein error_reporting auszuhändigen.

Kann natürlich auch nicht gehen, da nicht einmal PHP Script in deinem Index vorhanden ist. Zieh dir einen Index von einem CMS und änder das CSS Script oder die Images, jenachdem was dir einfacher fällt.