Auch Switchbot gekauft. Lief alles reibungslos. Liefert guten Support.
Beiträge von metho
-
-
Ein netter Typ mit sehr viel Ahnung und Erfahrung. Er redet zwar manchmal bisschen viel, aber es ist spannend im zu zuhören. Er ist sehr bodenständig und hat mir alles genausten erklärt wie ich was machen muss und auf was ich achten muss.
Er hat mich vom Service her wirklich überrascht, hat an viele Details gedacht und Kundenzufriedenheit ist ihm sehr wichtig. Habe viel dazugelernt. Und kann es nur jedem, der einen professionellen Server auf die Beine stellen will, ans Herz legen sich bei ihm zu informieren. -
Bitte melden Sie sich an, um diesen Link zu sehen.
-
And about FoxFS.... i m sure Amnezia was joking.
i'm not so sure about this
-
Er ist leider der Beste. Glaubt mir würde es einen geben der nur halb so gut ist, würde ich den nehmen.
-
Ein wahrer Sympath, der auch mal sagt, wenn's ihm nicht passt. Sehr direkt (muss man mögen). Weiss sehr viel und teilt es gerne anderen mit, aber kein Angeber, er hat nur Freude am Programmieren und daran anderen etwas beizubringen und selber etwas zu lernen.
Er fühlt sich denke ich manchmal verarscht, weil die Leute um ihn rum nicht immer direkt verstehen was er sagt. Aber versucht besser gar nicht die gleiche Sprache zu sprechen wie er: Bei ihm fängt der Satz in der Regel mit std:: an.
Er könnte den ganzen Tag darüber reden, was bei C++17 so viel angenehmer ist als bei C++11/14. Seine Arbeit als Java-Entwickler langweilt ihn (wahrscheinlich, weil es zu wenig um Programmieren geht)
Kompetent und Underrated
-
Super netter typ. Sehr zuverlässig wie er seine Arbeit macht. Arbeitet tag und nacht. Eine maschine
-
Alles anzeigenMal ein Gedankenanstoß:
Was bringt der PIN wenn er in Klartext in der Datenbank steht?
Der PIN alleine insofern ist in diesem Szenario nutzlos. Er ist allerdings nur der zweite Faktor der Sicherheit und entfaltet seine Stärke erst in Kombination mit einem Passwort, dass nicht im Klartext in der Datenbank steht und ordentlich gehasht wurde (samt Salt und Pepper).
Also kurz:
Passwort alleine, als md5 = Super schlecht
Passwort alleine, als shaXXX = okay
Passwort alleine, als shaXXX mit salt und pepper = super
Passwort als shaXXX mit salt und pepper + PIN = töfte
argon oder bcrypt verwenden, dann muss man sich über sowas garkeine gedanken machen
-
Hallo erstmal
Dieser Service richtet sich sowohl an diejenigen, welche gerne ihre Webseite manuell auf Sicherheitslücken prüfen lassen wollen, aber auch Entwickler, welcher gerne wissen wollen, worauf sie beim Programmieren achten müssen oder gerne komplexere Themen erklärt bekommen wollen.
FAQ:- Bist du ein Hacker? Ich bin weder ein Hacker, noch bin ich ein Penetrationstester, aber mit der Erfahrung als Senior Web-Entwickler ist es für mich ein leichtes, schnell und fokussiert Exploits in PHP/JavaScript Web-Anwendungen zu finden und sichere Software zu schreiben.
- Darf ich dir zuschauen, während du meine Seite total zerpflückst? Ja, definitiv. Nur wichtig zu wissen ist, dass ich nicht möchte, dass jemand Exploits bei anderen Seiten, welche ähnliche Exploits aufweisen testet oder das neu hinzugewonnene Wissen missbraucht.
- Darf ich einen Exploit, dem Entwickler weitermelden? Ja, aber ausschliesslich dem Entwickler und nur mit meiner Zustimmung.
- Garantierst du, dass meine Webseite sicher ist? Ja, tue ich. Bis jetzt gab es noch keinen Fall bei dem dies nicht so war. Sollte wirklich mal was sein, stehe ich mit vollem Support dahinter und helfe wo ich kann.
- Wie viel würde das kosten? Immer unterschiedlich. Das ist im Voraus schwer zu sagen. Je nach Aufwand etwa zwischen 175€ und 300€. Die meisten Aufträge waren um die 180€ - 200€. Es gab aber auch schon, welche weit darunter oder weit darüber. Ich versuche die Kosten gering zu halten, so empfehle ich meistens einen Entwickler, welche die Webseite neu programmiert und ich diese erst dann teste, so erspart sich aufwändiges Fixen und Testen.
- Wie kann es sein, dass du gravierende Exploits findest und andere nicht? Ein Erfahrungsunterschied, mein gelerntes Wissen übers Programmieren fokussiert sich ausschliesslich auf PHP/JavaScript, deshalb habe ich ein sehr gutes Verständnis wie diese Systeme aufgebaut sein sollten und wenn ich eine Ungereimtheit sehe, ist das meistens dann auch ein Exploit.
- Bist du der Beste? Nein, dumme Frage. Ich bin sehr erfahren und kenne fast alle Exploits, beruflich bin ich aber "nur" Software-Entwickler, also kann ich mir das nur aus der Sicht eines Entwicklers anmassen zu wissen.
- Also bist du nicht der Beste? Doch, ich bin ein Coding God, aber Bescheidenheit ist die wahre Tugend und ich kann nur PHP/JavaScript.
- Entwickelst du keine Systeme oder Webseiten? Versuch dein Glück, aber ich denke eher nicht für Metin.
Discord: metho#1288
-
Gebe dir nen fuffi für die accountliste
Bist nicht der Erste, der das fragt, aber sage immer Nein bei sowas.
Ist nicht meine Absicht den Spielern zu schaden. -
Alles anzeigen
Alles anzeigenLeaking was not necessary, but who cares I wouldn't use it anyway.
Metho tells me everyday how much he loves me and how he is going to sexually assult me.
So don't think you are special cause he wanted to work with you. He talks a lot
Metho is by the way the most expierenced frontend dev here in our community, so it may be a loss to you.
Git Gud M8
First off, I don't even know him and never heard of him. Why would I feel "special"? lol
Being an experienced developer means nothing when you destroy your reputation with actions like these.
Of course, this is metin2 and nobody gives 2 cents, but when you ask to work with someone and then pull off actions like these just to show off.. Well. That's what I call childish behaviour. Nothing I'd ever want in a team.
But props to you for finding a bug.
Btw, this is the most secure homepage script I have ever seen Metin2. I want to give something back to the community and not piss anyone off. Daichi2 has given nothing to the community except a server that lasted barely 2 months.
The people who donated just before the end are now the idiots, is that fair?
- I could have leaked all data of the players (ID, password (plain)). But I do not.
- I could have infected all players with a trojan. But I do not
- I could hack any server. (Yes, any server). But I do not.
Because I am definitely not what you say. My integrity is important to me.
I am one of the most reliable people in this community, you can ask anyone here and yes I am also a shit-talker, that's true
. -
Hi Together,
Here is a short hacklog regarding Daichi2. Since the server is down now, it makes no sense to invest more time. I did what I wanted and that was access to the website code/patcher. Have almost all account data in plain text, website, wiki and patcher code.
Because the server is offline anyway, I can share the source of the website here, which is surely interesting, because it is one of the best if not the best system in Metin.
Reflected XSS/Stored XSS exploitation script: Bitte melden Sie sich an, um diesen Link zu sehen.Remote Access Trojan inclusion script: Bitte melden Sie sich an, um diesen Link zu sehen.
Homepage + Wiki: -
If it gives you that the file contains a virus, namely a trojan, it does not contain it, it is due to the protection in secure.php
lul, nobody cares, remove the fucking virus and reupload it.
-
Bitte melden Sie sich an, um diesen Link zu sehen.
wasn das für ne aussage
Bitte melden Sie sich an, um dieses Bild zu sehen.
Die beste Protection gegen Bots, welche ich jemals gesehen habe...
-
Verstehe ich nicht. Inwiefern sollte das ausreichend sein? Der Server gibt ja zurück, ob die Kombination von Benutzername/Passwort korrekt ist unabhängig davon, ob man den PIN korrekt eingegeben hat. Sobald du weisst, dass ein Account vorhanden ist, ist es ein Einfaches. Eine Kombination von 4 Zahlen ist einfach zu testen ohne viel zeitlichen Aufwand, selbst wenn die Anzahl der Versuche limitiert ist, ist es wahrscheinlich:
Geburtstag: 199[0-9] = YYYY, (0[0-9]|1[012])9[0-9] = MMYY, DDMM, etc.
Eine logische Zahlenfolge: 1234, 4321, etc.
Eine wiederholte Zahl: 0000, 1111 etc.deswegen einfach nach jedem Fehlversuch einen exponentiell ansteigenden Zeitwert warten lassen und schon haste Ruhe 😅 oder zusätzlich einbauen, dass nach 5 Versuchen Ban gibt und man sich gern an den Support wenden kann 😅
Ein Bann oder eine zeitliche Beschränkung basierend auf IP oder HWID würde nicht viel bringen, wiegesagt die Anzahl der Versuche die man braucht ist relativ gering, um die richtige Kombination herauszufinden.
Und ein Bann oder eine zeitliche Beschränkung basierend auf Accounts, erlaubt es dem Angreifer sein Muster zu ändern, statt, dass er in den Account reinkommt, hält er andere davon ab sich einloggen zu können.
Was du natürlich machen kannst ist die IP/HWID zu bevorzugen, welche den PIN erstellt hat oder ihn zuvor richtig eingeben hat. Aber das ist alles nicht zielführend, glaub mir. -
Pin code via Email ist eine absolut dumme Idee. Viele nutzen das gleiche passwort wie bei ihrem Account für die Email. Lieber ein otp via Google authenticator order anderen Anbietern.
Hatte die gleiche Idee man müsste dann aber quasi den DB Eintrag alle paar Sekunden aktuell halten. Wieso nicht gleich eine App bei dem man den Code anfordern kann und der dann erst aktualisiert wird? 🤔
Es wird nur initial einmalig etwas übertragen beim TOTP.
Einfach erklärt:
* Der Server erstellt einen zufälligen Wert und wandelt diesen in einen QR Code um.* Mit deiner Authenticator App (z. B.. Google Authenticator) kannst du diesen scannen und abspeichern.
* Sowohl Server als auch Client haben einen internen Zähler eingebaut, welcher z. B. die vergangenen Minuten seit Beginn der digitalen Zeitrechnung (1970) zählt.
* Beide Geräte haben einen mathematische Funktion, welche den Zähler und den zufälligen Wert als Parameter erwartet.
* Auf deinem Gerät wird dieses Resultat dann in einem Interval diese Berechnung immer wieder durchgeführt.
* Du tippst den Code ab und sendest diesen an den Server, der macht die gleiche Berechnung und vergleicht diese mit dem was du ihm geschickt hast.
Hatte die gleiche Idee man müsste dann aber quasi den DB Eintrag alle paar Sekunden aktuell halten. Wieso nicht gleich eine App bei dem man den Code anfordern kann und der dann erst aktualisiert wird? 🤔
Ein PIN System sollte aufjedenfall gegen Account Hacker ausreichen, welche Datenbanken von anderen Servern nutzen. Die 2FA Authentifizierung wäre ein Bonus und natürlich viel sicherer. Ob ich es coden und als Update einpflegen würde, ist noch ein Rätsel, kann aber gut sein.
Verstehe ich nicht. Inwiefern sollte das ausreichend sein? Der Server gibt ja zurück, ob die Kombination von Benutzername/Passwort korrekt ist unabhängig davon, ob man den PIN korrekt eingegeben hat. Sobald du weisst, dass ein Account vorhanden ist, ist es ein Einfaches. Eine Kombination von 4 Zahlen ist einfach zu testen ohne viel zeitlichen Aufwand, selbst wenn die Anzahl der Versuche limitiert ist, ist es wahrscheinlich:
Geburtstag: 199[0-9] = YYYY, (0[0-9]|1[012])9[0-9] = MMYY, DDMM, etc.
Eine logische Zahlenfolge: 1234, 4321, etc.
Eine wiederholte Zahl: 0000, 1111 etc. -
.colossus. und ich kennen uns nun eine ganze Weile. Er ist einer der kompetentesten Entwickler hier im Forum. Definitiv kann ich seine Arbeit nur weiterempfehlen.
-
-
Was heult ihr hier rum? Es sind sein Preis und fertig. Geht leise heulen. Und wenn der Preis 2000 € wäre, wäre es immernoch gerechtfertigt. Geht lieber mal paar Jahre des Lebens investieren ins Programmieren, und dann könnt ihr es meinetwegen selber coden und spart euch die 800 €.
Aber geht bitte nicht davon aus, dass der Muselcode den ihr nach 2 Jahren Programming Basics erlernt habt nur Ansatzweise 800 € wert ist. -
Durch Eingabe der genauen URL und deinen Zugangsdaten für dein Benutze
wie genau kannst du es bitte für Noob's erklären?
MfG
Sofern du für deine Projekte Apache verwendest solltest du hier deine Antwort direkt finden: Bitte melden Sie sich an, um diesen Link zu sehen.
