Beiträge von -Reaven-

Zitat von Harti

Sinn: Ja
Technischer Aufwand: Immens
Nötig: Nein
Workaround: http://www.google.de und in der Suche "Gesuchte Begriffe site:http://www.etcg.de" eingeben

Greets,
Harti

Alles anzeigen

So immens ist der Aufwand gar nicht

Hm, WBB3. Das wird lustig

Hakuryu und ich waren damals im Besitz der aller ersten Version, bevor das Ding überhaupt öffentlich zugänglich war. Ich freu mich

Ach, ich hab schon vie Langeweile derzeit. Wenn ich dann mal sowas llustiges finde, dann muss ich ja die Attention Whore raushängen lassen.

So nannte man mich ja letztens noch. Und scheinbar war es legitim mich so zu nennen und da wollte ich dem Namen alle Ehre machen.

Aber ich hab meinen Beitragszähler ja schon wieder von der Million zurückgesetzt, damit ich den lieben Harti nicht zu sehr auf die Nerven gehe.

Da der Witz nun aus dem Thema ist, kann das Thema auch gelöscht werden. iChaos und ReanimatorShadow haben es wenigstens mitbekommen xD

Grüße

Will ja nich so sein und setze meinen Postcounter mal zurück. Denke ich sollte die Spielereien echt mal lassen

// Für den Zusammenhang:
Ich habe meinen Postcounter einfach auf 1 Million hochgesetzt, aber ihn jetzt wieder zurückgesetzt

Harti

Naja, der Beitrag von Mistress klang schon arg danach, dass es sich dabei derzeit um eine Werbetaktik handelt, was ich aber nicht nachvollziehen kann.

Finde es gut, dass der Bereich TCG-übergreifend wird. Das fehlt mir hier etwas.

Freu mich schon auf eure Updates.

Zitat

Original von ReanimatorShadow
Alter, ich liebe dich

Andi

Danke für diesen liebevollen Eintrag

Ich bedanke mich an dieser Stelle für die Möglichkeit meinen Postcounter auf 1.000.000 zu erhöhen. Das vergrößert mein Ego ungemein. Bin ja eh die Attention Whore.

http://www.etcg.de/forum/memberslist.php?sid=

Vielen Dank. *küsschen links, küsschen rechts*

// Für die, die mein Thema falsch verstehen:

Ich finds gar nicht so toll einen hohen Postcounter zu haben. Will nur, dass man hier bisschen aufwacht

Zitat

Original von Feuer Meister

Das ist ja sinn und zweck. es macht die leute neugierig was da kommen könnte.
Sie dich zum beispiel. dich hat es interessiert. werbung erfolgreich.
Andere haben/werden diesen beitrag vileicht lesen (wie zB ich) und interessieren sich dann auch dafür-> werbung erfolgreich.

Man muss kein Marketing-Experte sein, um zu wissen, dass das Unsinn ist.

Das ist einfach ein Bereich, der aufgrund mangelnder Kompetenz (der kompetente Programmierer hat nunmal keine Kapazität frei) vor sich dahinvegetiert und anstatt diesen Bereich zu entfernen, wird er einfach dagelassen. Annahme wird dadurch bestätigt, dass selbst der Fanshop weiterhin vorhanden ist und es echt keine Arbeit von 30 Minuten wäre diesen wieder zu reaktivieren. Aber stattdessen vegetiert dieser Bereich seit Wochen dahin.

Soetwas als Werbetechnik zu verkaufen ist witzlos. Das erzeugt keine Neugierde, sondern es lässt eTCG als Baustelle erscheinen und es verwirrt mehr, als es bringt.

Dennoch könnte man ja schonmal sagen, was da in Planung war oder ist.
Und wie weit ist die Arbeit daran schon fortgeschritten? (Damit man weiß, dass dieser Bereich nicht nur dort abgebildet ist, weil mal jemand meinte, dass es sicher sehr cool wäre, einen "Mein eTCG" Bereich zu haben).

Wird dieser Bereich dann wenigstens TCG übergreifend oder wird weiterhin die Nur-Yugioh-Politik geschoben?

Miese Werbetechnik, da sie nichts bringt.
Dann den Button doch lieber weglassen bzw "Startseite" draufschreiben.

Btw.: Wann gibts denn mal wieder den Fanshop? An dem hab ich ein ungemeines Interesse.

Problematisch ist doch, das diese Daten ohne jegliche Anonymisierung gespeichert werden sollen.

Die Daten können sie gerne haben, aber dann bitte nicht gläserne Bürger generieren. Wieso kann man die Daten nicht anonymisieren?

Smoke

Ich bin ja nicht überlegen. Nur besser informiert, was aber nicht bedeutet, dass ich mich grundsätzlich für besser halte.

Zitat

Original von Harti
Ich möchte nochmal betonen, dass wir dir dankbar dafür sind, dass du es überhaupt meldest. Nächstes Mal wäre es aber im Privaten (PN, ICQ, E-Mail, Hacken meines Accounts und PN an mich selbst schicken, etc...) und mit *etwas* mehr Hintergrundinformationen über Ort und Art des Exploits schön.

Mir aber auch egal, wenn es weiterhin öffentlich und ohne Informationen passiert. Es ist nur eine scheiß Situation für uns, da ich eben wie gesagt nicht genug Wissen habe und mein Kollege häufig einfach mit anderen Dingen beschäftigt ist und besseres zu tun hat, als jetzt die nächsten 6-8 Werktage jedes Skript auf der Seite durchzugehen....

Greets,
Harti

Alles anzeigen

Klingt ja schonmal viel freundlicher, auch wenn ich es nur ungern lese, das du mir dazu rätst deinen Account zu "hacken". Es kam halt nichts von Sebastian nach und da er nie online ist, wenn ich online bin, ging ich davon aus, das dies einfach der schnellste Weg ist. Okay, ich hätte dich auch einfach per PN anschreiben können, aber du liest hier doch eh selbst mit.

Eure Bedenken kann ich wirklich gar nicht teilen. Vermutlich werden wir da eh nicht auf einen gemeinsamen Nenner kommen, weil ihr denkt, dass ein negatives Potential dadurch erweckt wird, weil man von Fehlern weiß und ich davon überzeugt bin, das ein solches Potential schon immer vorhanden sein muss. Auch ein Dieb wartet nicht vor einem Haus bis ihm jemand sagt, das die Tür offen ist.

Wenn ihr aber solche Angst habt, dann löscht einfach die Beiträge und dann weiß ja niemand mehr davon

Wahrscheinlich bin ich manchmal so arrogant in meinem Schreibstil, das man mich einfach nicht ausstehen kann

Mistress

Keine Sorge, ich bin mir schon bewusst, was zum guten Ton gehört und was nicht. Leider verstehen viele Menschen nicht, das es auch konstruktive Kritik gibt.

Konflikte, oder auch Kritik, sind immer wichtig, damit sich etwas verbessern kann.

Ich könnte auch nach jedem Satz einen Smilie machen. Vielleicht wirke ich dann ja weniger "arschig". Alles, was ihr subjektiv in meine Beiträge hineininterpretiert (von ignorant und "besserer informatikstudent" bis arschig) blende ich einfach mal aus. Verstehe da die Logik wirklich nicht.

Meinetwegen kann der Herr Admin die Beiträge, da sie eh Off Topic sind, ruhig entfernen, doch ich finde es schon interessant, dass Kapazitäten frei sind um die Bewertungsprofile zu updaten, aber eben nicht um so einen Fehler aufzuspüren und zu beheben.

Zitat

Original von Smoke

Aber es ist deine Aufgabe, in einem Forum zu schreiben das es solche lücken gibt oder wie?. Ernsthaft was bezweckst du mit dieser Aktion? Dürstet es dir nach Aufmerksamkeit oder Beachtung?. Du hast nun mehrfach angesprochen das es Lücken gibt aber wozu?. Ich sehe das so entweder du gibst halt den Webmastern eine Auflistung der von dir angesprochenen Sicherheitslücken ODER du hälst dich zu dem Thema einfach geschlossen.

Desweiteren woher nimmst du denn das wissen das einige User hier nicht das Know-How haben um solche Lücken auszunutzen. Alleine die Tatsache das man durch deinen Post nun weiß das es welche gibt, lässt einige bestimmt zum experimentieren verleiten.

srsly .. sorg dafür das sich was dran ändert oder begrab das Thema einfach.

Alles anzeigen

Das es Lücken gibt, ist jedem Hacker immer klar. So what?
Dem Programmierer sind diese scheinbar nicht klar und da ich keine weitere Reaktion auf meine PN bekam, habe ich halt diesen Weg gewählt.

Bin mir absolut sicher, dass der Großteil hier absolut gar keinen Plan hat. Leute, die Ahnung haben, wissen einfach schon selbst, das es Lücken gibt. War mir doch auch von Anfang an klar, wieso sonst sollte ich rumexperimentieren?

Wünsche dir viel Erfolg mit deinen Experimenten

Zitat

Original von Prof.Dr.Dr.Phäää
Jetz liest das ein Hacker und Hackt einfach weil er/sie/es jetzt WEIß das es lücken gibt

Schreib Harti doch einfach WO die lücken sind dan können die behoben werden und das Hacken wird viel schwerer (schätz ich mal)

So ein Unsinn Die Wahrscheinlichkeit, das hier im Thema Jemand liest, der über das notwendige Know-How verfügt und ein Interesse hat, eTCG zu schaden, geht gegen 0.

Ausserdem geht ein Hacker immer davon aus, dass es Lücken gibt. So, nothing has changed.

Zum zweiten Teil deines Beitrags: Es ist nicht schlichtweg nicht meine Aufgabe die Fehler zu beheben / diese mitzuteilen, deshalb werde ich dies auch nicht tun. Dafür sind die Programmierer zuständig und wie bereits gesagt: Ich bin davon überzeugt, dass der Programmierer die Fehler schon noch selber findet.

Zitat

Original von Harti
Ich finde es asozial und unter aller Würde, in einem öffentlichen Bereich des Forums herumzuposaunen, dass man ein besserer Informatikstudent war als die Programmierer der Webseite, und nebenbei noch alle anderen Interessenten, eTCG zu hacken, aufweckt und ihnen mitteilt, wieviele Sicherheitslücken die Seite enthält.

Ich bin ja kein Student. (Noch nicht. Das Wirtschaftsmathematik-Studium geht erst im Oktober los ;)) Scheinst also nicht mich zu meinen oder mir zumindest die Fähigkeiten eines Studenten anzudichten. In dem Fall wäre es sogar ein Kompliment, wobei ich das kaum beurteilen kann, weil ich nicht weiß, wie gut so ein Student nach dem Studium aufgestellt ist.

Zitat

Original von Harti
Was ist der Sinn und Zweck des Ganzen, es anzusprechen, aber dann doch nicht wirklich hilfreich zu sein? Worauf möchtest du hinaus? Geld verdienen?

Ne, der Sinn ist nur, dass der Programmierer, von dem ich bisher nicht wusste, wer es ist, hier mitliest und so schnellstmöglich erfährt, dass es Baustellen gibt, die er noch nicht kennt.

Ich sehe echt nicht, wo jetzt dein Problem ist? Ich weise nur daraufhin, dass es ein ernstzunehmendes Problem auf der Webseite gibt. Jeder, der eTCG hacken wollte, würde eh selbst suchen und von daher kann ich dein Argument gar nicht nachvollziehen. Man brauch immer ein gewisses Know-How, weshalb mindestens 99,99% der Benutzer hier nichts mit meinem Hinweis anfangen können.

Zitat

Original von Harti
Nicht falsch verstehen, ich schätze deine Aufmerksamkeit sehr (wobei mich grundsätzlich auch interessieren würde, aus welchem Anlass du auf eTCG Sicherheitslücken suchst) - aber irgendwie ist dein Motiv offensichtlich das Verkehrte. Es bringt halt nix zu sagen "es ist in diesem und jenem Bereich", denn so ein Bereich hat halt dann auch mal 20-100 Skripten und diese haben dann halt auch zwischen 5 und 1500 Zeilen Code. Gerade bei gravierenden Sicherheitslücken empfinde ich es als eine bodenlose Frechheit, hier keine genaueren Angaben zu machen.

Man kann ja eh nur verschlüsselte Daten abgreifen und sich so maximal in den Account einloggen. Aber auch das ist schon sehr unschön.

Hm, wie erkläre ich denn nun meine Motivation. Also, es reizt mich ungemein herauszufinden, wo andere Leute ihre Fehler machen und wo ein Risiko besteht, dass man meine Daten abgreifen kann. Auch bildet es mich in gewisserweise selbst weiter, denn so kann ich meine eigenen Fehler schneller sehen. Schließlich sollte es mich doch interessieren, wenn es Löcher gibt, die andere dazu verhelfen an meine Daten zu kommen.

Und ausserdem: Wieso sollte ein Jemand, der hier mitliest, die Lücken eher finden, als ihr? Es ist keine Schadensfreude, ich finde es nichtmal amüsant. Wieso auch? Wo liegt da mein Vorteil?

Zitat

Original von Harti
Ich weiß nicht, was ich von dir halten soll. Alles, was ich weiß, ist, dass früher ähnlich ausgefuchste Programmierer unterwegs waren - die im Gegensatz zu dir aber auf "unserer" bzw. Julians Seite waren - und dass es irgendwann in der Vergangenheit entweder Probleme mit dir gab oder dass du auch mitgeholfen hast. Dazu weiß ich aber nix Genaueres, kann mir auch egal sein. Was auch immer damals los war, ich kann und werde dich nicht verstehen. Aber gib ruhig Bescheid, wenn du die vierte Sicherheitslücke hast! i

Bin ich nicht auf eurer Seite? Wie kommst du darauf?

Okay, war damals nicht immer alles so in Ordnung, da ich in meiner Jugend, also vor 6 Jahren, als ich noch 15 war, meine gefundenen Sicherheitslücken gerne zu meinem Spaß genutzt habe, aber sobald es ernst wurde und da wäre die Sicherheitslücke in der damaligen Topliste zu nennen, welche einem den Benutzernamen und das Passwort der MySQL Datenbank offenbarte, habe ich dies umgehend dem Julian gemeldet.

Ich arbeite nicht gegen euch. Ich hätte die Löcher auch verschweigen können, bis dann mal jemand kommt, der wirklich nicht auf eurer Seite ist und dann die Löcher ausnutzt (was ich beispielsweise nie tun würde).

Die Anzahl der Lücken ist eh irrelevant. Ob nun 2 Lücken oder 20. Reicht ja, wenn bereits eine existend ist.

Und wie ich bereits geschrieben habe: Ich mache nicht die Arbeit anderer.
Ich bin fest davon überzeugt, dass auch ihr das Know-How habt die Lücken selber zu finden und zu schließen.

Und wären die Lücken so gravierend, dass ich da wirklich eine hohe Gefahr drin sehen würde, dann würd ich die euch auch verraten, aber bisher kann man damit ja nur in die Accounts schlüpfen und das ist doch, sofern man nicht unbedingt in einem Team-Account geht, noch relativ harmlos.

Nächstes Mal halte ich einfach meinen Mund

Zitat

Original von Mistress
Du kannst auch ne nette Pn schreiben anstatt vor Schadensfreude unterzugehen.

Ich finde es nicht amüsant, sondern interessant. Das hat ja nichts mit Schadensfreude zutun.
Aber ich mache nunmal nicht die Arbeit anderer. Viel mehr weise ich darauf hin, das Sicherheitslöcher existieren. Diese zu finden, ist nicht meine Aufgabe, auch wenn ich sie längst gefunden habe.

Dachte es passt ganz gut in dieses Thema, da ja der Programmierer hier sicher mitliest. Als Programmierer will man doch das Feedback seiner Arbeit lesen.

// edit: Sind mitlerweile 3 Sicherheitslöcher.

Wer programmiert derzeit eigentlich eTCG?
Sind mitlerweile 2 Sicherheitslücken die ich in der aktuellen eTCG Version gefunden habe. Ich finde es sehr interessant zu sehen, wann der Programmierer von eTCG diese selbst findet.

Ist halt jetzt so, wie bei ebay.

Zitat

Original von Kane49

Zum Beispiel ?

Cross-site scripting ist in diversen Dateien von eTCG möglich.

Hier ist doch viel mehr verbuggt, als nur der Artikel. Mich würden die etwaigen Sicherheitslöcher weit mehr stören, als so ein verbuggter Artikel.

Der Zensus ist mit unserem Grundgesetz nicht vereinbar. Würde mich darauf berufen und im schlimmsten Fall klagen.