Beiträge von metho

Bcrypt ist keine Verschlüsselung/Encryption.

Für Git solltest du smudge und clean Filter einrichten, der wichtigste hierbei ist Git LFS, der ersetzt Binär-Dateien (davon hat Metin2 relativ viele) automatisch beim Committen durch File-Pointer. Somit speicherst du in deinem Git-Repository ausschließlich einen "Link zur Datei" und die eigentliche Datei speichert dein Git-Hoster an einem anderen Ort. Du solltest gegebenfalls deinen Source-Code am Anfang komplett formattieren oder gar nicht neu formattieren, da dies ja sonst als Changes in den darauffolgenden Commits auftaucht. Formattierung kann auch als Filter dienlich sein, je nach dem wie du arbeitest, ich bevorzuge jedoch die VSCode settings formatOnSave oder formatOnPaste Variante (ähnliches gibt es auch als Plugin für Visual Studio).

Ich würde dir empfehlen einen Git-Client wie Git-Fork oder Git-Kraken zu verwenden. Diese sehen auf den ersten Blick komplizierter aus als z. B. GitHub Desktop, jedoch lernst du mit den zwei zuvor genannten mehr wie git funktioniert.

Ein wichtiges Altagstool bei git ist eigentlich Git Bisect. Das hilft dir Fehler einfacher zu finden.

Die Lösung des Fehlers kannst du hier nachlesen: Bitte melden Sie sich an, um diesen Link zu sehen. . Kann sein, dass etwa Begrifflichkeiten wie "Block" etc. für dich neu sind, die Definitionen sollten aber alle auffindbar sein.

Zitat von .colossus.

Zitat von Ocelot2606

Möglich wäre natürlich auch das du auf deinem PC einen Virus hast und der sich in die Exe geschlichen hat

bullshit.

-----------------

Oder einfach n False Positive, weil der Patcher etwas herunterlädt und ein Großteil Antivirensoftware so etwas direkt flaggt.

Schlimm ist das schon weil der unwissende Metin Spieler direkt abgeschreckt wird.

Alles anzeigen

Nein, das ist kein Bullshit. Das ist defacto Teil der Definition eines Virus.

Ich bezweifle nicht, dass es in Metin2 viele False Positives gibt, aber viele Metin2 Spieler gehen direkt davon aus, dass es so ist, weil es ihnen so gesagt wird. Nehmt doch einfach mal die Sorgen der Spieler ernst, so abwegig ist das nicht, dass jemand sowas macht. Die Vergangenheit hat's bewiesen.

Arwena Woher hast du den Patcher bezogen? Werden die Daten von einer zertifizierten nachweisbaren Quelle heruntergeladen? Kannst du uns diesbezüglich mehr Informationen geben?

Zitat von 'Asasel

Zitat von Cripplez

I'm asking for help to understand where is the error i have while compiling because i applied exactly from the tutorial from his g-drive files.
I'm not asking someone to apply the fix for me, i would like to understand what is the error i get and if someone know how to fix that, because the tutorial is not complicated and i can't understand why it's not working.

HIS TUTORIAL

Code

1. //SEARCH:
2. bool CHARACTER::CanWarp() const
3. { const int iPulse = thecore_pulse(); const int limit_time = PASSES_PER_SEC(g_nPortalLimitTime);
4. if ((iPulse - GetSafeboxLoadTime()) < limit_time)
5. return false;
6. if ((iPulse - GetExchangeTime()) < limit_time)
7. return false;
8. if ((iPulse - GetMyShopTime()) < limit_time)
9. return false;
10. if ((iPulse - GetRefineTime()) < limit_time)
11. return false;
12. if (GetExchange() || GetMyShop() || GetShopOwner() || IsOpenSafebox() || IsCubeOpen())
13. return false;
17. //ADD UNDER: // patch with warp check
18. #ifdef __ENABLE_NEW_OFFLINESHOP__
19. if (iPulse - GetOfflineShopUseTime() < limit_time)
20. return false;
21. if (GetOfflineShopGuest() || GetAuctionGuest())
22. return false;
23. #endif

Alles anzeigen

MY CHAR.CPP

Code

1. bool CHARACTER::CanWarp() const
2. { const int iPulse = thecore_pulse(); const int limit_time = PASSES_PER_SEC(g_nPortalLimitTime);
3. if ((iPulse - GetSafeboxLoadTime()) < limit_time)
4. return false;
5. if ((iPulse - GetExchangeTime()) < limit_time)
6. return false;
7. if ((iPulse - GetMyShopTime()) < limit_time)
8. return false;
9. if ((iPulse - GetRefineTime()) < limit_time)
10. return false;
11. if (GetExchange() || GetMyShop() || GetShopOwner() || IsOpenSafebox() || IsCubeOpen())
12. return false;
13. // patch with warp check
14. #ifdef __ENABLE_NEW_OFFLINESHOP__
15. if (iPulse - GetOfflineShopUseTime() < limit_time)
16. return false;
17. if (GetOfflineShopGuest() || GetAuctionGuest())
18. return false;
19. #endif
20. return true;
21. }

Alles anzeigen

HIS TUTORIAL

Code

1. //SEARCH FOR :
2. void SetLookingOfflineshopOfferList(bool is) { m_bIsLookingOfflineshopOfferList = is; }
3. bool IsLookingOfflineshopOfferList() { return m_bIsLookingOfflineshopOfferList; }
6. //ADD UNDER:
7. // patch with warp check
8. int GetOfflineShopUseTime() const { return m_iOfflineShopUseTime; }
9. void SetOfflineShopUseTime() { m_iOfflineShopUseTime = thecore_pulse(); }
15. //SEARCH FOR: bool m_bIsLookingOfflineshopOfferList;
17. //ADD UNDER: // patch with warp check
18. int m_iOfflineShopUseTime = 0;

Alles anzeigen

MY CHAR.H

Code

1. #ifdef __ENABLE_NEW_OFFLINESHOP__
2. public:
3. offlineshop::CShop* GetOfflineShop() {return m_pkOfflineShop;}
4. void SetOfflineShop(offlineshop::CShop* pkShop) {m_pkOfflineShop = pkShop;}
6. offlineshop::CShop* GetOfflineShopGuest() {return m_pkOfflineShopGuest;}
7. void SetOfflineShopGuest(offlineshop::CShop* pkShop) {m_pkOfflineShopGuest = pkShop;}
9. offlineshop::CShopSafebox*
10. GetShopSafebox() {return m_pkShopSafebox;}
11. void SetShopSafebox(offlineshop::CShopSafebox* pk);
13. void SetAuction(offlineshop::CAuction* pk) {m_pkAuction = pk;}
14. void SetAuctionGuest(offlineshop::CAuction* pk) {m_pkAuctionGuest = pk;}
16. offlineshop::CAuction* GetAuction() {return m_pkAuction;}
17. offlineshop::CAuction* GetAuctionGuest() {return m_pkAuctionGuest;}
20. //offlineshop-updated 05/08/19
21. void SetLookingOfflineshopOfferList(bool is) { m_bIsLookingOfflineshopOfferList = is; }
22. bool IsLookingOfflineshopOfferList() { return m_bIsLookingOfflineshopOfferList; }
24. // patch with warp check
25. int GetOfflineShopUseTime() const { return m_iOfflineShopUseTime; }
26. void SetOfflineShopUseTime() { m_iOfflineShopUseTime = thecore_pulse(); }
28. private:
29. offlineshop::CShop* m_pkOfflineShop;
30. offlineshop::CShop* m_pkOfflineShopGuest;
31. offlineshop::CShopSafebox* m_pkShopSafebox;
32. offlineshop::CAuction* m_pkAuction;
33. offlineshop::CAuction* m_pkAuctionGuest;
35. //offlineshop-updated 05/08/19
36. bool m_bIsLookingOfflineshopOfferList;
38. // patch with warp check
39. int m_iOfflineShopUseTime = 0;
41. #endif

Alles anzeigen

Alles anzeigen

Code

1. bool CHARACTER::CanWarp() const

->

Code

1. #ifdef __ENABLE_NEW_OFFLINESHOP__
2. if ((iPulse - GetOfflineShopUseTime()) < limit_time)
3. return false;
5. if (GetOfflineShopGuest() || GetAuctionGuest())
6. return false;
7. #endif

if ((iPulse - GetOfflineShopUseTime()) < limit_time)

you missed something there. im not sure if ikarus didnt add them to troll the customers or he just didnt test his own code.

you can see it on the other iPulse functions in CanWarp.

Alles anzeigen

Nope. That has no impact and is only formatting.

Zitat von Onyxia

if (GetOfflineShopGuest() | | GetAuctionGuest())

->

if (GetOfflineShopGuest() | | GetAuctionGuest()

guess thats the Problem but i´m not 100% sure.

Alles anzeigen

Nope.

Zitat von Hap

Zitat von Onyxia

if (GetOfflineShopGuest() | | GetAuctionGuest())

->

if (GetOfflineShopGuest() | | GetAuctionGuest()

guess thats the Problem but i´m not 100% sure.

Alles anzeigen

then is one -> ) missing.
That is i think , not the right way.

Alles anzeigen

The problem here is that the function CanWarp() has a qualifier const. With it, a non-static function must not modify it's underlying instance.

Both GetOfflineShopGuest() and GetAuctionGuest() are getters and follow this restrictive rule. But they must be qualified as such too.

You simply have to add const (FunctionName() const) to both function declarations and definitions.

Für Deutsch:

For English:

If you are interested in the source code and want to get more information or learn something, please feel free to do so:

Ich habe dies im Vorfeld nochmals Aze mitgeteilt. Hier nochmals Danke für seine Diskretion.

Zitat von blablablub

Da schon ein paar Leute fleißig versucht haben was kaputt zu machen, versucht alles mögliche an der webseite aus und teilt mir bitte mit, falls ihr Schwachstellen findet

Brauche mal euren Ratschlag:

Meine Tabelle sieht wiefolgt aus:

Bitte melden Sie sich an, um diesen Anhang zu sehen.

Ich habe alle Bilder aus dem Client gezogen und habe dementsprechend von den Waffen(Beispiel Schwert das Bild 00010.png) Nun bin ich hergegangen und habe mit einer kleine n Regexexpression folgendes gemacht:

Code

1. let imageNumber = props.items.item_vnum;
2. const length = imageNumber.toString().length;
4. imageNumber = "0".repeat(5 - length) + imageNumber;
5. imageNumber = imageNumber.replace(/.$/, "0");
6. console.log(imageNumber);
7. setWeaponId(imageNumber);

Hier wird die ID(in dem Fall 19) genommen und solange mit "0" aufgefüllt, bis es 5 Stellen hat also dann 00019. Nun änder ich die letzte Ziffer zu 0 ab und habe dann 00010.png(also das Bild was ich aus dem Client hab)

Code

1. src={`/itemshop/items/${weaponId}.png`}

Das klappt auch alles super, allerdings hab ich depp nicht beachtet, das dann alle anderen Items die eine fixe Vnun haben wegfallen

Gibt es hier vielleicht eine andere simplere Lösung als mein Ansatz?

Alles anzeigen

Du denkst viel zu kompliziert:

Du musst einfach alle Items ausschliessen, welche ein +1 - +9 im Namen haben.

Es gibt aber Items, welche über +9 gehen (z. B. Angel), also müsstest alle +Zahlen ausschliessen bis auf +0:

Dies prüft ob ein "+" gefolgt auf eine Digit Kombination vorhanden ist am Ende, wenn nicht, ok, wenn doch, wird geprüft ob es sich um +0 handelt am Ende.

Zitat von blablablub

Boah nicht schlecht was du hier gemacht hast

Darf ich fragen wo du dir dein webdev wissen angeeignet hast? Kannst du irgendwelche Bücher empfehlen?

habe die nächste Zeit sehr viel zeit und möchte mir was sinnvolles aneignen. Danke dir!

JUST DO IT.

Und nein, ich kann dir kein Buch empfehlen, weil ich in meinem Leben kein einziges Buch über Programmieren freiwillig gelesen habe. Bücher sind kontraproduktiv, weil sie dich davon abhalten selber zu denken und über den Rand hinaus zu schauen.

Die meisten Entwickler sind Anwendungsentwickler. Sie gehen den Weg des geringsten Widerstandes und begnügen sich mit der erstbesten Antwort, welche bei StackOverflow steht um möglichst schnell ein Ergebnis vorzuweisen, welches funktionsfähig ist.

Wenn du noch kein fundiertes Wissen hast, wirst du dich wahrscheinlich noch paar Monate/Jahre damit begnügen müssen. Aber nicht verzagen! Denn die Lernkurve ist exponentiell (sagte mir einst jemand)!

Ich empfehle dir als ersten Schritt, schaue dir an wie es andere gemacht haben. Am besten etwas, was du bereits als Anwendungsentwickler kennengelernt hast und du jetzt vertieft anschauen willst.

Wenn du dich für PHP interessierst:

Die Entwicklung mit PHP erwartet leider Wissen im Bereich der OOP Programmierung. Wenn du diese noch nicht hast, dann erlerne es. In der Zeit kannst du dir aber schon mal einfacheren PHP Code anschauen.

Für Anfänger empfiehlt sich WordPress. Wie die ihren Code formatieren ist nichts was du dir aneignen solltest, aber er ist leserlich und der Source Code ist einfach zu verstehen.

Wenn du bereits Erfahrung in OOP hast, kann ich dir das Projekt von phpMyAdmin empfehlen. Ist eigentlich auch noch im Bereich der Anfängerfreundlichkeit.

Wenn du dann wissen willst wie man's richtig macht und damit auch sehr stark übertreiben kann. Kannst du dir Projekte wie Laravel anschauen.

Wenn du dich für JavaScript interessierst:

Wenn du noch ein Anfänger bist. Schaue dir den Source Code von jQuery an. Dieser ist auch wieder relativ einfach zu verstehen und leserlich.

Wenn du dich mit JavaScript bereits gut auskennst. Dann kann ich dir empfehlen schaue dir mal paar Bundler an wie Webpack oder RollupJs. Studiere diese erstmals ganz oberflächlich. Themen wie Garbage Collection (Mark-and-Sweep), Tree-Shaking, AST, Chunk-Splitting etc.. Versuche zu verstehen wie unterschiedliche Bundler diese implementiert haben. Der Vorteil bei Bundlern ist, du lernst etwas über die Entwicklung mit Nodejs und gleichzeitig etwas über die Entwicklung mit JavaScript im Browser.

Oder schaue dir Projekte an wie Reactjs. Hierbei ist der Code aber schon nicht mehr so einfach zu durschauen, wenn du keine Vorerfahrung in React Entwicklung hast. Hierbei empfiehlt es sich die unstable_ Funktionen sich anzuschauen z. B. unstable_wrapCallback, unstable_scheduleCallback etc..

Im Backend kann ich dir empfehlen, schau dir das Projekt koa.js an. Es ist wirklich sehr auch wieder anfängerfreundlich.

Wenn du bereits ein fundiertes Wissen hast in Web-Entwicklung und du präziseres Wissen erlangen möchtest, kann ich dir empfehlen, dass du dich mit Dingen im Detail wirklich konkret auseinandersetzt.

Wenn du dich für PHP interessierst:

Wichtig! Bevor du mit mit irgendwas anfangen möchtest lerne erstmal C. Generell hilft dir C auch bei der Entwicklung mit PHP. Da kommst du nicht drumherum, wenn du in PHP gut werden möchtest.

Kann ich dir empfehlen schau dir gezielt ein Gebiet an. Z. B. libxml. Wie wie werden XML/HTML Dateien geparst und interpretiert:

Bitte melden Sie sich an, um diesen Link zu sehen.
Bitte melden Sie sich an, um diesen Link zu sehen.

Interessanter Einstieg ist auch z. B. URL Parsing. Das ist eigentlich Vulnerable By Design:

Bitte melden Sie sich an, um diesen Link zu sehen.

Wenn du dich für JavaScript interessierst:

Für das Backend das gleiche in Nodejs/V8 wie bei PHP. Hierbei ist aber zu sagen, dass der Source Code um einiges komplexer zu verstehen ist, weil dieser in modernem C++ geschrieben ist.

Wenn du dich für Frontend-Entwicklung mehr interessierst, dann sei dir gesagt, dass der Weg um einiges Steiniger wird als im Backend. Es gibt so viele Rendering Engines, Sandboxes, Environments etc. mit denen man Anfangen könnte. Kannst dir aber mal WebKit/JavaScriptCore anschauen.

Um hierbei vielleicht bisschen vorweg dir Dinge anzueignen empfiehlt sich MDN. Hier findest du Themen wie Memory Management, die dir vielleicht so oberflächlich helfen können Ansätze zu verstehen.

Als Einstieg hier etwas über Post Messaging Transfer und die Kommunikation zwischen verschiedenen Workers: Bitte melden Sie sich an, um diesen Link zu sehen.

Wenn das alles gerade bisschen viel erscheint, dann kann ich dir YouTube empfehlen. Hilft immer um sich mal ein Thema auf die leichte Art reinzuziehen. Oder lies ein Buch (). Aber irgendwann heisst es: DO IT.

Und spätestens dann wenn es heisst DO IT. Unterscheiden sich die Leute, die wirklich wissen wo von sie reden von den Leuten die den ganzen Tag nur Zeug schwurbeln und sagen, sie denken "so ist es doch" und "so funktioniert es doch", aber eigentlich keinen Plan haben was sie da eigentlich machen.

Kompetentes Team mit der nötigen Erfahrung in dem Bereich um ein AC anzubieten, welches man auch weiterempfehlen kann. Der Support und Integrität ist auch 1A.

Finde, dass es gerade im Bereich Sicherheit wichtig ist, dass ein Entwickler, der eine Lösung für ein Problem anbieten möchte, den nötigen Ehrgeiz mitbringt sich tagtäglich mit der Materie zu beschäftigen, besser zu werden. weil man sich weiterentwickeln möchte und das ist hier definitiv mehr als gegeben.

Sie sind sich nicht zu schade, selber herauszufinden, welche Möglichkeiten es gibt Dinge zu umgehen statt abzuwarten bis es jemand anderes für sie herausfindet.

Zitat von Steap

Wenn ich ehrlich bin, vermisse ich diese Art von Maps sehr. Natürlich sehen sie nicht total modern aus, aber warum sollten sie das auch? Wieso muss man alles modernisieren, das ist doch nicht der Grund warum wir Metin2 (auf privaten Servern) spielen.

An deiner Stelle würde ich in genau diesem Stil die Map erweitern. Mehr Gebäude, mehr Gras, mehr Blumen aber weiterhin in diesem Stil arbeiten und dieses simple Theme beibehalten.

Aber natürlich ist dir überlassen in welche Richtung du dich entwickelst. Weiter so!

Sehe ich genauso. Finde du hast das recht gut hinbekommen.

Wenn ich du wäre, würde ich mich mal daran versuchen den Stil der bereits bestehenden Maps auf neue Maps anzuwenden.

Viele Oldschool Server verwenden keine neuen Maps, weil neue Maps meist nicht originalgetreu daherkommen und zu stark vom Offiziellen abweichen. Denke wenn du das gut hinbekommst, stichst du bereits heraus.

Ja, also grundsätzlich bist du bisschen auf dem Holzweg mit UTF-8. UTF-8 ist eine multi-byte Enkodierung, welche alle Unicode Zeichen unterstützt, das sind ganz viele an der Zahl.

Damit wirst du aber in Metin wenig anfangen können, weil C++ unter Windows und Multibyte nicht die besten Freunde sind. Es bedeutet, dass die Zeichen nach dem 128. Zeichen aus der Kombination von mehreren Bytes bestehen, also ist ein String der 30 Bytes lang ist, nicht auch immer 30 Zeichen lang.

Metin2 arbeitet hingegen im westlichen Raum mit Codepages, die mit Abstand bekannteste ist windows1252. Und dient als Codepage für den westeuropäischen Raum. Diese sind immer ein Zeichen per Byte.

Codepages unterstützen nur 256 Zeichen, sind wie UTF-8 auch ASCII kompatibel, was bedeutet, dass die ersten 128 Zeichen von der Stell 0 bis 127 gleich sind. Die Zeichen von 128 bis 255 können variieren ähneln sich aber auch sehr stark.

Ein wichtiger Punkt den du über Codepages wissen musst, sie sind nicht enkodiert, dass bedeutet, jedes einzelne Zeichen steht genauso da wie's dasteht, keine Zusatzinformationen. Das bedeutet, man kann nicht wissen was für eine Codepage man vor sich hat. Es kann ANSI windows1252 sein, es kann aber auch ISO latin1 sein, die sich sehr stark ähneln, aber nicht exakt gleich sind. Wenn du einen Text bekommst der nur ASCII Zeichen beinhaltet wie "A-Za-z0-9+-{}[]/()" etc. ist es unmöglich nachzuvollziehen, was der Absender des Textes für eine Codepage hatte, wenn diese Information nicht zusätzlich übergeben wird.

Ein "?" entsteht, dann wenn eine Codepage an der Stelle kein Zeichen kennt. Ergo nicht alle Stellen der 255 möglichen Stellen sind belegt mit Zeichen.

Es gibt zu jeder Codepage einen Wikipedia-Eintrag, den du dir ansehen solltest, hier z. B. windows1252:

Deutsch: Bitte melden Sie sich an, um diesen Link zu sehen.
Türkisch: Bitte melden Sie sich an, um diesen Link zu sehen.
etc.

Nun zu deiner eigentlichen Frage, was hilft dir das jetzt?
Du musst wissen:
- MYSQL verwendet latin1 in Metin2, welches sich sehr der windows1252 ähnelt, aber nicht ganz deckungsgleich ist.

- Deine Codedateien solltest du immer in windows1252 öffnen und nur ASCII Zeichen verwenden, wenn möglich.
- Deine restlichen Sprachdateien musst du in der jeweiligen Codepage öffnen, dies kannst nur du wissen, dein Editor weiss nicht was er da öffnet und du musst ihm (wenn er nicht intelligent ist) jedesmal sagen, interpretiere die türkische Datei als windows1254 Codepage.
- In deinem Code, musst du angeben, wenn du die Codepages lädst, dass diese mit der Codepage windows1254 interpretiert werden muss, wenn es eine türkische Datei ist, das kann dein Metin2 Code nämlich genauso wenig wissen.
- Dem Client musst du ebenfalls sagen, was er als was interpretieren muss. Und welche Nachricht deutsch ist und welche türkisch etc..

Wenn du weitere Fragen hast, einfach stellen.

Zitat von H0nk

Und deswegen muss man es genau so coden ? 😂

Dragonsoul ist ein eigenes Window

Es ist durchaus Praxis; Dinge einheitlich zu coden, Legacy Code zu respektieren und im gleichen Stil fortzufahren ist meines Erachtens sogar der korrekte Weg.

Nur Noobs schreiben die ganze Struktur von M2 um und denken sie haben dadurch was gewonnen.

Zitat von Señor Zynko

Zitat von metho

Nein, was du sagst ist Unsinn. Du meinst Plaintext, nicht Klartext. Enkodierte Daten sind auch Klartext. Du machst gerade den MaxChri und frontest mich, obwohl ich dir nur erkläre wie's funktioniert.

Ich habe keine Lust dir zu erklären, weshalb es performanter ist, weil du nur mit irgendwelchen Begriffen um dich wirfst.

Gut zu wissen dass Klartext also die Übersetzung ist, bleiben wir nächstes mal doch einfach bei Englisch. Schade ist natürlich dass du mir nicht zeigen kannst dass Sessions performanter sind. Würde das gerne mal schwarz auf weiß haben.

Plaintext und Klartext haben in diesem Zusammenhang eine unterschiedliche Bedeutung, mein Freund. Informier dich doch einfach, wenn du's nicht weisst bevor du irgendwas äusserst, nur um was dagegen gesagt zu haben.

Die Daten werden auch nicht validiert mit dem Secret sondern verifiziert. Du verwendest einfach wahllos irgendwelche Begriffe ohne diese zu verstehen.

Habe echt keine Lust dir zu erklären, warum das eine performanter ist als das Andere, dafür müsstest du verstehen, wie beide funktionieren und das tust du nicht. Zudem habe ich keine Lust, dir was beizubringen, wenn du so drauf reagierst.

Wenn du wirklich interessiert bist, etwas zu lernen, dann kannst du mich gerne privat anschreiben, statt dich hier als wannabe zu outen.

Zitat von Señor Zynko

Zitat von metho

HS256 encoded? Wtf soll das sein? Meinst du HS256 encrypted? Und nein, die Daten werden nicht encrypted, sondern signiert. Die Daten eines JWT Tokens stehen im Klartext, respektive sind sie Base64 enkodiert.
Ich habe bewusst Dinge weggelassen um es euch leichter verständlich zu machen.

Du bist ein Meme, dass keine Ahnung hat wovon es redet lul

Stimmt habe mich vertan ich meinte natürlich die Claims werden mittels Secret uns HS256 signiert und können wieder durch secret validiert werden und content ist Base64 encoded. Ändert trotzdem nicht das Base64 eine Codierung ist und nicht Klartext. Schön dass du nicht mal beweist ob die dass die session performanter sind was wahrscheinlich nicht so einfach stimmt, da es auf den usecase drauf ankommt.

Aber hey mach weiter deine PServer denn wenn du so fähig bist, dass du nicht mal 10 lines code innerhalb von 3 Monaten erzeugen kannst

aber gegen jeden schießen. Meme eben. Du redest oft groß wie du codest die Topliste in 3 Tagen und am ende hast du nicht mal ein Commit gehabt. Selbst iPeri hatte mehr entwickelt als du am Toplisten project

Alles anzeigen

Nein, was du sagst ist Unsinn. Du meinst Plaintext, nicht Klartext. Enkodierte Daten sind auch Klartext. Du machst gerade den MaxChri und frontest mich, obwohl ich dir nur erkläre wie's funktioniert.

Ich habe keine Lust dir zu erklären, weshalb es performanter ist, weil du nur mit irgendwelchen Begriffen um dich wirfst.

Zitat von Señor Zynko

Zitat von metho

Mein Vorredner hat leider nur Halbwissen verzapft . Weshalb dir hier eine korrekte und simple Antwort gebe:

Bei JWT:

Initial wird ein Token vom Server an den Client übertragen, dieser Token wird vom Server signiert und kann bei jedem weiteren Request vom Client an den Server, vom Server verifiziert werden.

Der Token beinhaltet sowohl die Signatur als auch die Daten zur Authentifizierung (z. B. account_id). Diese Daten sind Klartext und sowohl für Server als auch Client einsehbar.
Durch die Signatur, kann der Server verifizieren, ob die im Token beinhalteten Daten exakt dem entsprechen, was der Server zuvor dem Client gesendet hat. Weder der Client, noch der Server kann den Token verändern, ohne das dieser seine Gültigkeit verliert.

Bei Sessions wie :
Initial generiert der Server einen zufälligen Token. Dieser Token wird vom Server gespeichert und an den Client übertragen. Anders als bei JWT beinhaltet dieser Token keine Daten. Die Daten werden auf dem Server gespeichert und können nicht vom Client direkt abgerufen werden. Bei jedem Request, sendet der Client den Token dem Server und der Server ruft entsprechend des Tokens die Daten hervor. Diese kann der Server beliebig ändern, sind aber nur für diesen ersichtlich.

Ich würde nicht sagen, dass das eine besser ist, als das andere.

Aber du musst wissen, dass JWT ressourcenschonender ist, da du dir Datei-Zugriffe auf deinem Server sparst.
Jedoch sind Sessions in der Regel performanter, flexibler und einfacher nachzuvollziehen. Flexibler deswegen, weil die Daten entsprechen noch im nachhinein vom Server geändert werden können.

Alles anzeigen

Wo habe ich bitte Halbwissen verzapft. Mr. Ich schaffe nach 3 Monaten nicht mal eine React Seite umzusetzen *Hust*.

Du Hast im Gegensatz zu mir einfach nur die Funktionsweise von JWT & Sessions runtergelabert und auch nocht Elemente dabei vergessen.

Btw die Daten sind nicht im Klartext sonder HS256 encoded oder ähnliche Algorythmen. Ist zwar einfach decodbar aber kein Klartext.

Wie kommst du darauf das Sessions performanter sind?

Sollte auf das gleiche hinauslaufen, wenn bei den sessions ein Cache genutzt wird anstatt in der DB diese zu speichern.

So der Hauptunterschied ist wenn du Distributed Systems erstellst ( z.B. Mircoservices) dort ist JWT um einiges einfacher zu handhaben

als Sessions. Ist aber für 95% aller Webdevs irrelevant.

Ja du bist echt manchmal ein absolutes meme

Alles anzeigen

HS256 encoded? Wtf soll das sein? Meinst du HS256 encrypted? Und nein, die Daten werden nicht encrypted, sondern signiert. Die Daten eines JWT Tokens stehen im Klartext, respektive sind sie Base64 enkodiert.
Ich habe bewusst Dinge weggelassen um es euch leichter verständlich zu machen.

Du bist ein Meme, dass keine Ahnung hat wovon es redet lul

Zitat von Señor Zynko

Diese negativen Dinge wirst du von Leuten hören die keine Ahnung von Authentication haben.

JWT oder Sessions haben keinen Vorteil an sich. Sie sind zwei verschieden Herangehensweisen um ein Problem zu lösen.

Ich selbst nutze fast nur ausschließlich JWTs gespeichert in einem HTTP only Cookie.

Ich stelle die JWTs Token sind bei uns in der Regel maximal 15 min valide und müssen dann neu ausgestellt werden.

Bei Sessions ist der Hauptnachteil, dass man diese in der DB speichern muss oder in Memory halten muss Beispiel in einem Redis Cache. Die Speicherung in der Datenbank fördert natürlich einen overhead. Beim Redis cache kann man nur vertikal skalieren.

Und hier sehen wir schon den Hauptunterschied zwischen JWT & Sessions. Sessions innerhalb einer Single Server Architektur zu verwalten ist einfach, solltest du jedoch horizontal skalieren über mehrere Server bist du mit JWT deutlich besser aufgehoben, da du den Auth State zum Client auslagerst und diesen nur validieren musst. Das ist deutlich Ressourcen freundlicher als Sessions.

Gibt zwar noch vieles mehr, jedoch ist es meistens egal welche Methode man nimmt.

Alles anzeigen

Mein Vorredner hat leider nur Halbwissen verzapft . Weshalb dir hier eine korrekte und simple Antwort gebe:

Bei JWT:

Initial wird ein Token vom Server an den Client übertragen, dieser Token wird vom Server signiert und kann bei jedem weiteren Request vom Client an den Server, vom Server verifiziert werden.

Der Token beinhaltet sowohl die Signatur als auch die Daten zur Authentifizierung (z. B. account_id). Diese Daten sind Klartext und sowohl für Server als auch Client einsehbar.
Durch die Signatur, kann der Server verifizieren, ob die im Token beinhalteten Daten exakt dem entsprechen, was der Server zuvor dem Client gesendet hat. Weder der Client, noch der Server kann den Token verändern, ohne das dieser seine Gültigkeit verliert.

Bei Sessions wie :
Initial generiert der Server einen zufälligen Token. Dieser Token wird vom Server gespeichert und an den Client übertragen. Anders als bei JWT beinhaltet dieser Token keine Daten. Die Daten werden auf dem Server gespeichert und können nicht vom Client direkt abgerufen werden. Bei jedem Request, sendet der Client den Token dem Server und der Server ruft entsprechend des Tokens die Daten hervor. Diese kann der Server beliebig ändern, sind aber nur für diesen ersichtlich.

Ich würde nicht sagen, dass das eine besser ist, als das andere.

Aber du musst wissen, dass JWT ressourcenschonender ist, da du dir Datei-Zugriffe auf deinem Server sparst.
Jedoch sind Sessions in der Regel performanter, flexibler und einfacher nachzuvollziehen. Flexibler deswegen, weil die Daten entsprechen noch im nachhinein vom Server geändert werden können.

Was du stattdessen machen könntest, ist, dass du Teams hilfst ihre System besser und sicherer zu entwickeln. Du könntest ihnen grundlegend die wichtigsten Punkte von Agiler Entwicklung näher bringen und Compliance.

Weil Lücken wird es immer geben und in 95% der Fälle ist es Jemand aus dem eigenen Team/eigenen Reihen, der es einem Anderen nicht gönnt.

Viel wichtiger als Lücken zu finden ist, die Entwicklung von Systemen und deren Anforderung. Viele Server bauen blindlinks alles ein was die in Foren finden und nach zwei Tagen kommt es auf den Live-Server ohne irgendwelches dokumentiertes Testing oder Sonstiges.

So auch die Anforderungen an die Teammitglieder und die Verwaltung deren Rechte. Diese sollten auch bis zu einem gewissen Grad vertrauenswürdig sein. Viele Teams sind zu faul, Prozesse, Daten, und Abläufe einzuhalten und diese zu dokumentieren; ich empfinde das als viel gravierender als das man gehackt wird.

Ich warte ehrlichgesagt auf den Tag an dem ein Server ein Announcement macht: "Sorry, wir wurden so eben gehackt. Der Server wird nach einem Hotfix in 5 Minuten wieder hochgefahren "

Zitat von Fliegex3

Zitat von metho

Dass dein Fix nicht funktionieren würde ist nicht mein Kritikpunkt an dir. Es ist eine bewusste Täuschung, die du machst und verkaufst eine Schwachstelle als neu, welche bereits jemand vor dir gefunden hat.

Du hast weder den Autor um Erlaubnis gefragt, seine Arbeit kommerziell nutzen zu dürfen, noch hast du offen kommuniziert, dass es sich hierbei um einen Fix des Handshake Fixes handelt. Du hast bewusst jeden glauben lassen, dass es sich hierbei um eine neue Schwachstelle handelt, welche du entdeckt hast.

1. Wurde nirgends diese Lücke als neu verkauft, loginfloods kennt man schon seit ewigkeiten

2. Hast du Ymir/WebZen gefragt ob du deren Arbeit nutzen darfst? Scheinbar ist dir das Wichtig

3. Ideen = Patent

4. So wie der Threadersteller das in M2dev umgesetzt hat, hätte es nie funktionieren können

Aber da das Gespräch anscheinend nichts gebracht hat mit dir, werde ich jetzt nicht weiter drauf eingehen.

Gegen dich spricht man wie gegen eine Wand.

Alles anzeigen

1. .colossus. hat in seinem initialen Beitrag folgendes geschrieben:

Zitat von .colossus.

Der ein oder andere hat es vielleicht schon mitbekommen, dass aktuell viele Server vor allem beim Start Probleme mit Angriffen hatten.

Dieser Satz impliziert, dass es sich um ein aktuelles und durch die Runde gehendes Thema handelt.

2. Nein habe ich nicht und das war auch nie meine Aussage.

3. Geht auch komplett an meiner Aussage vorbei.

4. .colossus. hat die Logik kopiert, diese gefixt und verkauft diese nun. Ob die Logik auch ohne .colossus. seinen Fix funktioniert, kann ich nicht beurteilen. Ich kann lediglich bezeugen, dass diese bei mir nicht funktioniert hat und ich dahingehend falsch lag.

Um die Kritik in einem Satz zusammenzufassen: .colossus. gab nicht an, dass es sich hierbei um den Handshake-Fix handelt, selbst nach mehrfachem Nachfragen gab er an, dass er sich davon "nur" hat inspirieren lassen. Schlussendlich, nach langem Hin und Her, gab er zu, die Logik kopiert zu haben und diese gefixt zu haben.

Das ist kein transparenter Service. Hätte .colossus. mich nicht angelogen und direkt zugegeben wie die Umstände sind, gäbe es keine Kritik an ihm von meiner Seite diesbezüglich.

Unabhängig von dem, ist es aber sicherlich nicht förderlich, wenn ein Group Manager sich an anderer Arbeit so dreist bedient, ohne sich in irgendeiner Form beim Autor zu bedanken. Aber gut, dass muss er mit sich selber ausmachen.

Zitat von .colossus.

Zitat von metho

Leider musste ich beim Kauf feststellen, dass es sich hierbei um einen Fix des Handshake Fixes handelt. Bei dem der genannte Fix als Grundlage verwendet wurde für den hier angebotenen Fix. Ich kenne .colossus. schon lange und dies hat mich dann doch bisschen enttäuscht, da ich annahm es handelt sich hierbei um eine neue Schwachstelle.

Der Fix umfasst so gesehen eine Anpassung/Änderung des Handshake Fixes, ändert aber nichts an der Logik oder dem grundlegenden Lösungsansatz. Das soll den Preis oder den Aufwand den er sich gemacht hat aber nicht mindern.

Ich finde es jedoch mittlerweile traurig wie sich M2 entwickelt. .colossus. hat nicht in einem Satz erwähnt hat woran er sich bedient und wer der ursprüngliche Autor dieses Fixes ist. Selbst auf die Frage von Asasel hin hat er dies nicht nachgereicht.

Anderen Entwicklern ihre Anerkennung zu geben für die geleistet Arbeit, welche man nutzt als Grundlage für sein eigenen Verkauf finde ich, sollte eine Selbstverständlichkeit sein.

Schade, dass du das noch immer nicht kapiert hast und selber auch feststellen musstest, dass das so nicht funktioniert.

Wir haben lange genug darüber geredet.

Zitat von Anino

Hast du seinen Fix getestet?
Beim als Referenz genannten Sunshinemt2, lassen sich weiterhin 8+ handshake sockets (von einem host) öffnen und Packets senden.

edit: funktioniert wohl nur von eingeloggten hosts, allerdings reicht ein host im regelfall auch aus.

Wow, ein eingeloggter Spieler kann an den Game Core Packets senden.

                                                           

Edit: Es ist ein Fakt das mein Fix funktioniert und ich werde diesen auch weiterhin verkaufen.

Alles anzeigen

Dass dein Fix nicht funktionieren würde ist nicht mein Kritikpunkt an dir. Es ist eine bewusste Täuschung, die du machst und verkaufst eine Schwachstelle als neu, welche bereits jemand vor dir gefunden hat.

Du hast weder den Autor um Erlaubnis gefragt, seine Arbeit kommerziell nutzen zu dürfen, noch hast du offen kommuniziert, dass es sich hierbei um einen Fix des Handshake Fixes handelt. Du hast bewusst jeden glauben lassen, dass es sich hierbei um eine neue Schwachstelle handelt, welche du entdeckt hast.

Du hast Variablen und Funktionen umbenannt und den Aufbau verändert um die Täuschung aufrecht zu erhalten. Jedoch sieht jeder Laie, dass es sich hierbei um den Handshake Fix handelt. Du hast die Arbeit dreist kopiert und es nicht ergänzt, nirgendswo erwähnt, dass du dich an seiner Arbeit als Grundlage für deine Arbeit bedienst.

Niemand bestreitet, dass du viel ausprobiert und getestet hast. Ich will mir nicht mal anmassen deine Arbeit zu bewerten, denn auch wenige Zeilen Code können einen Segen sein, wenn der Server dann erfolgreich startet.

Du hast aber dennoch ganz dreist die Arbeit eines anderen als deine ausgegeben und dich daran bedient. Es wäre das Mindeste hättest du den ursprünglichen Autor in Kenntnis gesetzt. Als Group Manager ist dieses Verhalten einfach nicht akzeptabel finde. Wir sollten den Anderen hier als Vorbild/Massstab dienen, andernfalls können wir uns nicht das Recht rausnehmen deren Arbeit beurteilen zu wollen.

Zitat von .colossus.

Zitat von 'Asasel

Bitte melden Sie sich an, um diesen Link zu sehen. du versuchst jetzt aber nicht das hier in einer abgewandelten Version für 250€ zu verkaufen, oder? xD

Wenn dass, das Maß aller Dinge wäre, würde ich das hier nicht verkaufen. Zumal das was er gemacht hat auch nicht funktionieren wird.

Leider musste ich beim Kauf feststellen, dass es sich hierbei um einen Fix des Handshake Fixes handelt. Bei dem der genannte Fix als Grundlage verwendet wurde für den hier angebotenen Fix. Ich kenne .colossus. schon lange und dies hat mich dann doch bisschen enttäuscht, da ich annahm es handelt sich hierbei um eine neue Schwachstelle.

Der Fix umfasst so gesehen eine Anpassung/Änderung des Handshake Fixes, ändert aber nichts an der Logik oder dem grundlegenden Lösungsansatz. Das soll den Preis oder den Aufwand den er sich gemacht hat aber nicht mindern.

Ich finde es jedoch mittlerweile traurig wie sich M2 entwickelt. .colossus. hat nicht in einem Satz erwähnt hat woran er sich bedient und wer der ursprüngliche Autor dieses Fixes ist. Selbst auf die Frage von Asasel hin hat er dies nicht nachgereicht.

Anderen Entwicklern ihre Anerkennung zu geben für die geleistet Arbeit, welche man nutzt als Grundlage für sein eigenen Verkauf finde ich, sollte eine Selbstverständlichkeit sein.

Ein gut gemeinter Appell, lass es sein, hör auf. Nimm deine 7 Sachen und vereis weit weg. Merkst du nicht wie sehr dein Geisteszustand mittlerweile leidet und dein Gehirn bereits schaden genommen hat? Ich glaube der DDoS ist direkt in dein' Kopf vorgedrungen...