Beiträge von Ertispha

    Dessen bin ich mir bewusst. Ich beziehe mich Hauptsächlich darauf, dass du geschrieben hast "... für ein neues Game von denen ..." und es den Anschein hier in dem Thread erweckt, dass noch nie jemand was von dem Spiel gehört hat geschweige denn, dass Sulake dahintersteht. "minjung"

    Lisa hat das Team verlassen und soweit ich gehört habe wird Hero verkauft.
    B2T:
    Zwar schön und nett, dass du dich bemühst anderen zu helfen aber da gibt es genügend "Tutorials(?)" auf RT die wesentlicher informationsreicher sind.
    Finde es nicht so besonders, vor allem wie @Mert_Coleman bereits erwähnt hat sollte man nur ein Hotel eröffnen, wenn man sich auch in dem Gebiet auskennt oder einen guten Techniker hat.

    :lol: Der Preis für die schlauste Aussage geht an dich mein Freund. Wieso verbrennen wir nicht gleich alle Lehrbücher mit Tipps und Tricks auf der Welt und schaffen Ausbildungen und duale Studiengänge ab, ich meine man muss sowas doch schon vorher können bevor man praktisch etwas umsetzt oder? Vielleicht gibt es ja angehende Techniker, die selbst mal was versuchen wollen. Wieso willst du den Leuten vorschreiben wann man was sollte und wann nicht?

    Hallo Community,

    ich gebe euch hier ein paar Tipps wie man seine Webanwendung + Server ordentlich sichert.

    Achtung: Es ist ein sehr theoretischer Beitrag. Das heißt dass ich nicht direkte Codes oder Scripts zu Lösung anbiete, lediglich Vorgehensweisen dafür.

    Vielen Retro Hotels (und vorallem den CMS'en in dieser Szene) mangelt es an Sicherheit.
    Bisher hatte jedes gängige CMS eine CSRF Lücke die man, wenn man das CMS kennt ziemlich böse ausnutzen könnte.

    (Web-)Server Sicherheit:
    Vergebe nur benötigte Rechte
    Solltest du Mitarbeiter haben, welche Zugriff auf deine Daten brauchen; gebe Ihnen nur die dafür benötigten Rechte.
    Hast du zum Beispiel einen Katalog Manager für dein Hotel, gib ihm einen neuen Datenbank Account und nur die Rechte für die Katalog Seiten, Katalog Items und Hotel Items, mehr nicht. Lege Ihm dazu einen extra FTP Zugang, nur zu den jeweiligen SWF Ordnern an.
    Nicht weil du der Person nicht vertraust, aber selbst deine Mitarbeiter können einmal gehackt werden.

    Ändere Standard Ports und Namen
    Lass deinen MySQL Server nicht unter den Benutzernamen root und über den Port 3306 laufen!
    Ändere ihn zu einem geheimen Namen oder einer zufällig generierten Zeichenkette. Das selbe gilt für den Port.
    Dies dürfte - selbst wenn jemand dein Passwort hat - Hackern den Zugang um einiges erschweren.

    Updates
    ... werden nicht aus Spaß oder Langeweile released. Es ist keine Seltenheit, dass Sicherheitslücken selbst in großen Anwendungen gefunden werden. Bleibe deshalb immer (sofern möglich) auf dem neusten Stand deiner benutzten Software. Erkundige dich notfalls im Internet vorab ob die Version deiner Software eventuell Lücken hat.

    DDoS Schutz
    Hier heißt das Zauberwort nicht unbedingt Cloudflare, zumal man die IP sowieso leicht herausbekommen kann, sondern Proxy Server. Diese fangen den Traffic ab und filtern ihn. Ein Proxy Server kostet allerdings etwas.

    Nutze komplizierte Passwörter
    Lass sie dir am besten von einer externen Seite, welche zufällige Passwörter generiert vorgeben (z.B. http://www.gaijin.at/olspwgen.php)

    Logge alle relevanten Sachen
    Sollte dein System doch mal eine Lücke haben oder jemand seine Rechte missbraucht haben, bekommst du das durch Systemlogs raus. Lass deine Datenbank, deinen Server an sich und deinen Webserver Logs führen.

    CMS Sicherheit
    Um eine Webseite zu hacken gibt es die abstraktesten Möglichkeiten.

    SQL-Injection
    Nutze prepared Statements! Nimm dafür am besten MySQLi oder PDO in der PHP Umgebung.

    XSS
    Lass jegliche Eingaben, welche ein Nutzer getätigt hat beim Ausgeben wieder Filtern, sodass er keine Javascripte ausführen kann.

    CSRF
    Generiere für jeden Nutzer einen Token und speicher diesen in der Session ab. Verlange bei jeder POST Abfrage ein abgleich dieses Tokens.
    Beispiel einer Gefahr:
    Ein Administrator klickt auf den Link xyz.de/schaumal und ist währenddessen in seinem Hotel eingeloggt. Jetzt postet diese URL einen automatischen POST Request an die Webseite deines Hotels. Und ohne es zu wissen, kann er einen User bearbeitet haben und ihm einen Rang gegeben haben.

    Bruteforce
    Nutze beim Posten (vorzugsweise beim Login) ebenfalls Logs, welche protokollieren wie oft die Person es bereits Probiert hat. Verlange nach dem 3. oder 4. mal einen Google Captcha, welchen er erst betätigen muss.

    Kein blindes Autoloading von Templates
    Definiere jedes Template in deinem CMS vor (falls du ein MVC o.ä.) nutzt. Wenn ein Nutzer z.B. xyz.de/home aufruft, soll er nicht automatisch im Verzeichnis tpl/home.html nach der Datei suchen, da dies ebenfalls ausgenutzt werden kann, indem eine Person z.b. xyz.de/http://expl0it.org/uploadshell nutzt, wird diese Shell auf deinem Server eingebunden.

    Upload Exploits
    Prüfe beim Hochladen von Dateien den MIME Type der Datei, und nicht nur die Endung oder ähnliches.

    Wenn du diese Schritte befolgst, dürftest du (was dein CMS angeht) auf der Sicheren Seite stehen.

    Hier findest du noch ein gutes PHP Security Cookbook: http://commons.oreilly.com/wiki/index.php…on_and_Security
    Und hier noch eins: https://www.owasp.org/index.php/PHP_Security_Cheat_Sheet

    Das einzige was ich mitbekommen habe bevor meine IP Adresse grundlos gesperrt wurde ist, dass Mitarbeiter zu unfähig sind sich auf ein Event vorzubereiten.

    Hallo Aeterox,

    deine IP-Adresse wurde nicht ohne Grund gesperrt.

    Nachdem du diverse Fehler im Teamspeak mit deinen Freunden ausgenutzt hast und uns mit DDoS-Attacken bedroht hast, mussten wir leider solche Maßnahmen ergreifen um den Schutz des Hotels gewährleisten zu können.
    Auch das trollen von Team-Mitgliedern oder von Usern blieb bei dir nicht aus, deshalb solltest du dich eigentlich nicht über die verteilten Sanktionen wundern. Im Mittelpunkt standen aber die Bedrohungen und eventuell auch ausgeführten Attacken.

    Danke für dein Feedback! ;)

    https://gyazo.com/0c40ad14370331836dcdeaa0ac84d68f
    hätte es mir gern mal angeguckt naja ^^

    Wir haben grade nur mit den kindischen DDoS Attacken von hobba.st zu kämpfen, weil einige von uns anscheinend bei Ihnen geworben haben, was meiner Meinung nach das normalste auf der Welt ist, so wie Wahlkampf in der Politik.

    Als wir mit ihnen reden wollten, hatten sie sich nur stumm in den Teamspeak gesetzt und gesagt "Ich rede nicht mit fremden" und als wir ein paar kritische Fragen stellten, welche die die DDoS Attacke hinterfragen, wurden wir gebannt vom Server (auf den wir aufgefordert wurden zu kommen). gg

    würde ihn anzeigen wegen geiselnahme. er meints scheinbar ernst.
    b2t:
    finde das konzept von den parteien und wählen cool. würde man nur abstimmen können.
    leider kann ich meine mail nicht verifizieren -> dementsprechend kann ich auch nicht wählen.

    ¯\_(ツ)_/¯

    Die Wahlen finden immer am Ende des Monats statt, müsste da auch so stehen :D
    Ich werde mal nachschauen, wo es da hängt.

    Hey, ich habe mir das Hotel mal genauer angeschaut und muss ehrlich sagen, dass das Hotel mich nicht "überzeugen" konnte. Ich denke es liegt einfach daran, dass nichts "neues" vorhanden ist, was mir dauerhaft Spaß bietet. Das CMS Design ansich ist eigentlich nicht schlecht, aber nicht mein Geschmack. Die Idee mit dem Feed ist auch cool, man hätte da aber mehr rausholen/verknüpfen können.

    Ich denke das Hotel gefällt mir einfach nicht, weil ich da kein Spaß haben kann. Ich wünsche euch trotzdem viel Glück & Erfolg :thumbup:

    Das mit dem Feed ist für spätere Versionen bereits geplant, dass man da noch mehr Unternehmen kann.

    Liebe Grüße
    Jonathan

    Da ich ohne genannte Begruendung entlassen wurde offenbare ich mal meine Kritik an Kristina gegenueber der Hotelmanagerin Lisa.




    Was soll man dann bei dir als angehenden Xler sagen?

    Nur weil du grade auf 180 bist weil du provoziert wurdest musst du nicht sowas hier im Forum posten.

    Ist das nicht schon Grund genug dir die Testphase ohne Erfolg abzunehmen?

    Schade.

    Liebe Grüße
    Jonathan

    hätte das jemand anderes geschrieben, wäre es irgendwie auf eine andere art und weise lustig.aber eigenwerbung ist einfach nur scheiße. bitte verlass das forum.

    b2t: wäre cool wenn ihr den hoster mal wechselt.
    die downtimes sucken halt hart balls.

    Wie gesagt, wir sind bereits dran. Uns nervt es auch.

    Wie ist überhaupt der Link zum Hotel , herofire.org zeigt bei mir nichts an :P

    Ja aber was will man erwarten, wenn man nur 10 Euro für ein virtuellen Server ausgibt? Stabilität = Keine ^^

    Hat das Hotel eröffnet? wollte es mir mal anschauen aber leider Seiten-Ladefehler.
    Also die Seite ist nicht mehr erreichbar

    Ihr solltet euch vielleicht mal einen gescheiten Server anlegen, bevor ihr wieder online geht :D

    Es tut uns leid, dass das Hotel nicht ging. Es liegt jedoch nicht am Server sondern am Anbieter. Wir haben bestimmt keinen 10€ Server, wenn wir sogar schon Investoren dafür haben. Der Server reicht normalerweise vollkommen aus nur wie gesagt der Hoster samt Hosting Webseite war nicht erreichbar (mit dem Hoster hatten wir zuvor nie Probleme gehabt). Aber wir wechseln den Hoster jetzt sowieso.

    Liebe Grüße
    Jonathan

    Allgemein Parteisystem, gute Idee - schlecht umgesetzt.
    Administration... selbsterklärend #NSDAP

    In meinen Augen, gute Vorstellung - schrecklicher start .

    Ich hab zwar nicht alles mitgekriegt und bin auch kein Fan der AfD aber wenn ihr den Usern verbietet die AfD und somit auch wahrscheinlich die NPD nachzuahmen könnt ihr genau das gleiche mit der CDU SPD Grüne und FDP machen denn eigentlich sind alles einfache demokratische Parteien, die jeder wählen kann, manche eben mit einem eher komischen Parteiprogramm
    Hab mich jetzt einfach auf das zweite Bild von nouvl verlassen dass ihr das verbietet

    Naja, eine Partei die brennende Hakenkreuze als Parteiraum hat und sowas schreibt wie "Nur weil ich das Parlament abschaffen will kein Nationalsozialistisch :P" oder "Erster Vorsatz: Parlament abschaffen und Präsidialsystem einführen" sollte man dann doch verbieten oder?

    Warum genau ist die AfD verboten?

    Auszug aus dem Regelwerk: "Der Feed

    Was du beim Posten im Feed beachten solltest...

    • beleidige niemanden und vermeide sonstigen schwarzen Humor, da dieser falsch aufgenommen werden kann [...]"

    Weiter heißt es: "Sämtliche Regeln gelten übergreifend egal ob für den Feed oder die Parteien o.ä."

    Gibt es / wird es für das Hotel einen Teamspeak geben?

    Habt ihr euch etwas bei Mehrfachregistrierungen ("Klonen") überlegt? Davon kann ich nämlich nichts in der Vorstellung finden.Was wirklich "ungerecht" wäre ist, wenn sich bestimmte User mehrere Accounts machen, sich am Eröffnungstag mit diesen einloggen und somit 3 (oder x) "Eröffnungs- / One-Day-Rares" haben.
    Wie sind die Regeln der Accountanzahl pro IP ?

    Dann ist das leider so. Es gibt auch viele Hotels mit Willkommensrares, sollen die auch abgeschafft werden? Zudem geht sowas selbst beim originalen Habbo, wenn man mehrere Accounts hat und es diese 5 Taler Geschenke gab hatte man mal einiges an Talern gesammelt. Zudem kann man sich nicht unendlich viele Accounts erstellen.

    Denkst du nicht, dass sich dann andere User, die sich aus bestimmten Gründen nicht registrieren konnten, vernachlässigt fühlen?Also ich persönlich finde sowas nicht gut

    Wieso sollten sie nicht können? Man kann sich via Handy und Desktop problemlos registrieren. Wer zuerst kommt malt zuerst. Wir sind nicht die ersten die sowas machen. Dann könnte man ja auch gleich die Day One Rares weglassen oder wie bei vielen Videospielen den Vorbestellerbonus.

    Hey RT,

    wir freuen uns euch mitteilen zu dürfen, dass für jeden der sich noch heute registriert, das Hotel bereits eine Stunde früher öffnet, also am 31.07. um 17:00 Uhr.
    Verpasst es nicht! :)

    Liebe Grüße
    Jonathan

    Endlich ist es soweit!

    Wir öffnen unsere Tore und heißen euch alle herzlich Willkommen.

    Das erwartet euch:
    ► One-Day Rares
    ► kostenlose Diamanten
    ► viele Events ( nicht nur am Tag der Eröffnung ;) )
    ► tolle Verlosungen via Instagram und Snapchat
    ► und vieles mehr..

    Du hast genauso viel Bock wie wir?
    Dann komm am 31.07.2016 ins Herofire. Die Eröffnung beginnt um 18:00 Uhr. Registriere dich kostenlos, jetzt oder bis spätestens 19:00 Uhr am Eröffnungstag und du bekommst sogar ein Limited-Rare von uns geschenkt!

    Wir hoffen ihr kommt alle zahlreich und habt viel Spaß bei uns.
    Weitere Infos unter:
    https://www.facebook.com/herofirehotel/
    https://www.instagram.com/herofireofficial/
    https://www.herofire.org