[HOW-TO] MYSQL in Python

Alle die hier sagen: "man kann's verschlüsseln, also nutzt das" haben miese Pläne!
Wär' wirklich unklug soetwas im Client zu verwenden.

nette Idee.
1. neuen Benutzer mit eingeschränkten rechten.
2. alles in cython packen...
3. meisten Verwenden Python 2.7.3 wie GF auch

Quote:

Originally Posted by .Risan. nette Idee. 1. neuen Benutzer mit eingeschränkten rechten. 2. alles in cython packen... 3. meisten Verwenden Python 2.7.3 wie GF auch

+ Gute Client verschlüsselung in c++

Quote:

Originally Posted by Antigene Allerdings sollte man RSA verschlüsselt die Daten speichern

Und das soll sicher sein?
RSA kann man auch auslesen.

Wie Beni schon sagte, dass ganze kann man ganz einfach hooken. Dann ist es egal welche Verschlüsselung ihr habt. Lasst es einfach.

Quote:

Originally Posted by [iRemix] Und das soll sicher sein? RSA kann man auch auslesen.

jup, allerdings je nachdem wie man es verschlüsselt mit einer zeit von 2-xxxE Jahren. Und solange ist sicherlich kein p-server online, da dies dann schon Projekte sein müssten, jene durch mehrere Generationen gehen müssten, @ TE vielen dank dafür :) kann ich gut gebrauchen für mein neues Projekt (kein metin).

Quote:

Originally Posted by Invicta³ + Gute Client verschlüsselung in c++

Der witz war gut.

Euch is allen bewusst, dass metin2 alles über die Kernel32.dll in ram lädt oder?

Jetzt denkt ein bisschen weiter, dann wisst ihr auch, warum verschlüsselungen allgemein fürn Arsch sind.

Die community sieht jede neue Methodik als Angriff auf ihre bereits funktionellen Methoden.

Ich habe nie gesagt das dies DIE Methode ist, es zu realisieren sondern das es EINE Möglichkeit ist.

Nur mal nebenbei die client-server Kommunikation läuft auch nur über ein eigenes tcp/ip Protokoll wo man den Header und die Daten modifizieren kann.

Nehmen wir das Beispiel einer neuen GUIs wo irgendwelche Daten aus einer Tabelle abgerufen und dargestellt werden. Es wird ein neuer User erstellt der nur Zugriff auf eine Tabelle hat und nur SELECTEN kann. Ich hooke mir irgendwie den User und kann die Tabelle einsehen. Glückwunsch dazu.

Nachtrag: die Übertragung ist im übrigen verschlüsselt, also hilft nur das entschlüsseln des Clients und decompilen der pyc um die Daten einzusehen

Quote:

Originally Posted by Weedend Die community sieht jede neue Methodik als Angriff auf ihre bereits funktionellen Methoden. Ich habe nie gesagt das dies DIE Methode ist, es zu realisieren sondern das es EINE Möglichkeit ist. Nur mal nebenbei die client-server Kommunikation läuft auch nur über ein eigenes tcp/ip Protokoll wo man den Header und die Daten modifizieren kann. Nehmen wir das Beispiel einer neuen GUIs wo irgendwelche Daten aus einer Tabelle abgerufen und dargestellt werden. Es wird ein neuer User erstellt der nur Zugriff auf eine Tabelle hat und nur SELECTEN kann. Ich hooke mir irgendwie den User und kann die Tabelle einsehen. Glückwunsch dazu.

Seit wann wird da ein neuer user erstellt?

Alles was ich mit mysql queries mach wird von der game an den clienten geschickt.

da übergibt der client garnichts und weiß nichtmal was für mysql daten ich serverseitig nutze.

MACHT SOWAS NIE
Das ist dermaßen unsicher. Egal wie gut ihr den Client geschützt habt. Das wäre das dümste, was man machen kann es gibt einfach keinen 100% Schutz vor Hackern und man kann natürlich auch über manipulierte Packet ordentlich Querys ausführen... Ich meine ihr habt ne offene MySql Verbindung mehr braucht jemand der sich auch nur 30 Min mit dem Thema auseinandergesetzt hat um irreparablen Schaden anzurichten. Mach das lieber über ne Quest oder den Sourcecode, wer die Möglichkeiten dazu hat, aber doch nicht so.
Also ganz ehrlich da fehlt nur noch, dass wir in unseren Clients jetzt auch noch eine SSH-Verbindung aufmachen zu unserem Root, damit jeder User über nen Button im Client den Server neustarten kann, falls was hängt.

Na ja immerhin verstehst du was von Python, aber das ist sonst sehr großer Müll hier.
MfG

Das ist ja schon fast wie die Haxx0rs mit ihren VB-Keyloggern :awesome:

Schade, dass es jetzt jeder weiß aber danke das du es teilst, würde es aber auf Grund der Risiken nicht direkt im Clienten per MySQL machen :D

Gruß

Ich erinnere mich noch an das GM Panel von Musicinstructor(?) in dem auch die Mysql daten angegeben waren, war recht witzig sich die mysql tabellen der server damals anzugucken. Fazit: Nett gemeint, aber für heutige Verhältnisse viel zu gefährlich.

PS: An die, die denken Verschlüsslung bringt was: vRam is was schönes, hilft dir beim entpacken von Archieven mit Type 0-5. Gut du kannst den zwar hiden mit Programmen wie Themida, aber im Endeffekt kommt man dran wenn mans unbedingt will und sich bisschen Mühe gibt.

mfg,

Quote:

Originally Posted by Weedend Nehmen wir das Beispiel einer neuen GUIs wo irgendwelche Daten aus einer Tabelle abgerufen und dargestellt werden. Es wird ein neuer User erstellt der nur Zugriff auf eine Tabelle hat und nur SELECTEN kann. Ich hooke mir irgendwie den User und kann die Tabelle einsehen. Glückwunsch dazu. Nachtrag: die Übertragung ist im übrigen verschlüsselt, also hilft nur das entschlüsseln des Clients und decompilen der pyc um die Daten einzusehen

Wer macht denn für ein GUI einen neuen User?
Man übergibt auch keine ganzen Querys sondern nur kurze Strings, die dann von einer Quest weiterverarbeitet werden.

Und ShuZzZle hat doch schon gezeigt, was mit Strings in .pyc Dateien passiert, sie sind offen einlesbar auch ohne decompiling.

Thanks you dude, that's really nice !

Schickes Releases jedoch was alle hier posten mit "es ist unsicher,leicht zu umgehend" usw. jop die leude haben recht.

1. Bringt langsam eine Verschlüsselung nichts mehr, da es wieder irgendein schwachkopf schafft, diese verschlüsselung zu knacken

2. Verschlüsselungen in der Mt2-Sektion ist Irrelevant da es sich nicht lohnt da eh wieder gerippt wird bis zum geht nicht mehr

3. Wenn man ein Guten Server hat, sollte man nur sich selbst vertrauen und es wenn man Erfolg haben will selbst durchziehen

Meine meinung dazu


Kind Regards

Prince43™