Beiträge von Sidia

  • Login PIN System

    Zitat von Lead0b110010100
    Zitat von Sidia

    Das ist mir bewusst, die einfachste Möglichkeit, und dazu mit einer der sichersten ist den Pin als Salt zu nutzen anstatt ihn mit abzuspeichern, ein salt der nirgendwo steht ist der sicherste

    Ein Salt der nirgendwo steht ist unbrauchbar. Du meinst glaub Pepper. Denn der Salt wird jedes Mal gebraucht, wenn der Nutzer ein Passwort im Klartext sendet, der Server verbindet Salt und Klartextpasswort und vergleicht mit dem Hash, der in der Datenbank steht.


    So ist die wirklich einfachste Methode, es gibt aber auch Hashingalgorithmen die z.B: erst hashen, dann salt einbinden, dann noch Mal hashen usw. Aber needless to say: Man braucht den Salt des Users im Klartext.

    Der Nutzer schickt den Pin=Salt doch beim Login versuch mit

  • Login PIN System

    Zitat von Lead0b110010100
    Zitat von Sidia

    Pin als salt, bingo

    Ein + steht für 'UND' demnach ist nicht der Salt mit PIN (könnte aber auch) sondern:

    Wir haben einen Hash UND einen PIN.

    Das ist mir bewusst, die einfachste Möglichkeit, und dazu mit einer der sichersten ist den Pin als Salt zu nutzen anstatt ihn mit abzuspeichern, ein salt der nirgendwo steht ist der sicherste

  • [PREVIEW] RSA-Account-Security

    Ein einfaches Pin System wie man es kennt hat unzählige Schwachstellen.


    - Hat man Username und Pw ist der Pin leicht gebruteforced. Abhilfe schafft eine Login Begrenzung

    - Nutzer die 123 als pw nutzen werden 0000 oder 1234 als Pin nutzen, hilft dann auch niemandem

    - Kommt jemand an die DB sind bis 8 Zeichen lange pins in Sekunden mit Rainbow tables geknackt

    - Man kann 7+ Zeichen als Pin nutzen um die oberen Probleme zu lösen, dann kann man ab auch gleich sicherere Passwörter erzwingen, Pins sind halt nice weil so kurz

  • [Release] Client- & Server-Side Pickupfilter

    Zitat von Donatello
    Zitat von ProfessorSanii

    Mir gings um den Preis. Hab den nie für 80 verkauft, 75€ war der Preis.

    Und mir gehts um das "wann" , wenn du den noch vor wenigen Wochen für 75€ verkauft hast würde ich das echt schwach gegenüber deinen Kunden finden den zu releasen. Unabhängig ob dieser bereits released ist oder nicht.

    Der ist seit mehreren Monaten schon nichtmehr im Verkauf, eben wegen den Preisdrückern, nur wenn explizit danach gefragt wurde hat man den noch bekommen

  • Der Account existiert bereits

    Ehrlich gesagt keine Ahnung, php5 kommt mir nichtmehr aufs System

  • Der Account existiert bereits

    Zitat von Denker-God
    Zitat von Sanii

    Hör auf zu spamen und sag an wie man nochmal php-Errors enabled. Dann wird dem Jungen auch geholfen werden können.

    wäre es ein php error wäre da entweder ein fehler oder ne weiße seite

    ist ein sql fehler

    Abgesehen von RuntimeExceptions, ein Fehler in der SQL Abfrage sollte einen solchen erzeugen. Dort wird der Fehler ausgegeben und die Ausführung fortgeführt, bzw teils dort abgebrochen, aber keine komplett weiße Seite angezeigt, sollte der Fehler nach Ausgaben stattfinden, wie es (leider) in den meisten Metin2 CMS ist.


    Entweder über dem SQL statement folgendes einfügen:


    Code
    1. error_reporting(E_ALL);
    2. ini_set('display_errors',1);
    3. ini_set('error_reporting', E_ALL);
    4. ini_set('display_startup_errors',1);
    5. error_reporting(-1);


    oder in die Mysql logs schauen. Hast du jemanden zur Hand, der PHP kann, kann er dir auch gezielt den SQL Error ausgeben

  • Gute Files vom derzeitigen Stand + Client?

    Zitat von Mafuyu
    Zitat von Aze

    Wo sind denn die Fakten?

    Ich merke das es keinen Sinn hat, ich habe jetzt 3 mal exploits genannt die noch offen sind, und hier im Forum gibts auch ne schöne Liste mit exploits wo sogar explizit erwähnt wird das sie in den Fliege files offen sind, aber ihr labert so "eeh laber nix stimmt nicht is nix offen was für fakten" merkt ihrs noch? Is so als würde ich sagen "blanke Kori files sind nicht verbuggt labert nicht" ?!


    Wer ein wirklich ernstes Projekt plant nimmt weder uralt Fliegefiles noch uralt Nerofiles sondern man kauft direkt Martyfiles. Wer der Meinung ist, das wäre "Moneywaste" plant sowieso kein anständiges Projekt. <<--- <Meine Meinung>

    Du hast 3x davon geredet dass es Fakten gibt die Irgendwo existieren, geliefert hast du noch keine

  • Button weg

    Das ist ne Python Funktion die diesen Button anzeigt sobald eine Select zu viele optionen hat. Mit quest hat das nichts zu tun.

  • [Biete] Kostenlose Hilfe für Neulinge

    Zitat von silence

    same

    die metin2 sektion in einem hauptsächlich deutschen forum ist gewachsen als die closed beta für koreaner, zu der auch almans eingeladen wurden, gestartet ist

    kann man hier wunderbar erkennen dass die epvp metin2 sektion um 2005 gewachsen ist: Bitte melden Sie sich an, um diesen Link zu sehen.

    Das einzige was man auf dem Screen sieht ist das es mitte / ende 2007 los ging. Wow zu dem Leak von Rain habe ich auch schon Metin gespielt. Deshalb renn ich aber nicht rum und erzähle ich wäre seit dem in der Szene. 2006 saß der Großteil von uns noch vor dem Fernseher und hat Toggo und Super RTL geguckt. Du kannst mir nicht erzählen er wäre in der Szene aktiv gewesen, vllt hat er was davon mit bekommen, das wars aber auch