Man kann Packets so faken, dass sie so aussehen als würden sie von einer anderne IP kommen. Das wäre der erste Schritt. Der zweite Schritt wäre, die Teile im Packet zu finden, die sagen, dass ich das Packet gesendet habe. Wenn man die beiden Faktoren gefunden hat $ :awesome: $ :DQuote:
Aaaaber... wie willst du es ohne das ein gm dieses Trojan-Addon hat es so aussehen lassen als käme das direkt von ihm? Irgendwie muss der GM ja von Hells Produkt daten erhalten und diese an den Server senden wenn es so aussehen soll als wäre er das. Direkt von uns aus etwas an den Server senden, somit die Accountlevel-Sperre zu umgehen wurde noch nicht entdeckt (weder wpe oder ähnliche Spielzeuge) um so befehle durchkommen zu lassen die für normale Spieler nicht vorgesehen sind. Klar, das wäre die einfachste Möglichkeit.. jedoch von der Umsetzung her sehr viel schwerer, bzw. unmöglich. Naja, man kann jetzt auch Toyota sagen.. jedoch glaub ich das die Server-Coredevs. sowas schon aus dem Weg geräumt haben um soetwas zu vermeiden.
Eigentlich glaube ich nicht das man die IP umbedingt benötigt, daher würde ich es wohl eher eine Sicherheitsmaßnahme nennen.Quote:
Dürfte immer gecheckt werden, wenn du ein Request zum Server schickts.Quote:
wird beim login überprüft und sagt dem clienten was ich darf/nicht darf?
Oder wird das jedes mal gecheckt wenn ich einen Befehl eingebe?
So, das lässt sich ja relativ leicht testen, man nehme einen PServer, erstelle sich einen Account mit Acclevel 1. loggt sich ein, stellt dessen Accountlevel auf 5 oder so und probiert dann mal irgendwelche befehle aus (Ohne Relog natürlich). Wenn diese durchkommen haben wir die Lösung. Jedoch hab ich letztens meinen PC abgeschossen und werde mir keinen Server auf mein Laptop spielen. Vielleicht hat ja jemand anders so viel langeweile :DQuote:
Quote:
Die Welt könnte so schön sein wenn alles so rein von der Logik schnell lösbar ist.
Eben.. hätte ich das Passwort von den GM's bräuchte ich auch kein addon oder ähnliches dafür :DQuote:
würde nicht funktionieren da man dann in die DB eingreifen müsste.
Oder vllt würde es gehen wenn man ein extra Programm nebenbei läuft der auf Wow zugreift und dein username in die von dem Gm umendert beim einloggen würde aber auch nicht funktionieren da mann das passwort bräuchte :D
Peace
der server schickt dir nur die nachricht und von dem sie ist zurück. checks finden da keine mehr statt. ich guck mir gleich nochmal an ob cliend den eigenen namen beim versenden einer nachricht mitschickt oder nicht.Quote:
edit: Problematisch würde es nur werden, wenn der Server ein Packet zurückschickt, um zu überprüfen, obs auch wirklich der GM ist ;)
der client an sich kennt (zumindes in der retail version) gar keinen unterschied zwischen gm und player modus (/sowas existiert garnicht) es ist so dass du client einfach eine nachricht mit "." am anfang werschickt... der server registriert den punkt an der esten stelle der nachricht und merkt "aha ein command..." dann wird geprüft ob der sender das command ausführen darf. interessant hier ist jetzt WIE geprüft wird. per accountname oder player name... (ich tippe auf den account, was aber blöd wäre...) wenn es aber trotzdem der player name sein sollte und der beim versenden einer nachricht mitgeschickt wird wäre das natürlich extrem lustig^^Quote:
das Account-Level:
wird beim login überprüft und sagt dem clienten was ich darf/nicht darf?
Oder wird das jedes mal gecheckt wenn ich einen Befehl eingebe?[...]
Quote:
So, das lässt sich ja relativ leicht testen, man nehme einen PServer, erstelle sich einen Account mit Acclevel 1. loggt sich ein, stellt dessen Accountlevel auf 5 oder so und probiert dann mal irgendwelche befehle aus (Ohne Relog natürlich). Wenn diese durchkommen haben wir die Lösung. Jedoch hab ich letztens meinen PC abgeschossen und werde mir keinen Server auf mein Laptop spielen. Vielleicht hat ja jemand anders so viel langeweile :D
in die db musst du nicht eingreifen. du musst nur den server dazu bringen dich mit einem gm zu "verwechseln" dazu gibts (theoretisch) eine million möglichkeiten. wobei die db zu manipulieren sicher eine der schwersten ist (sql injection ist hier das stichwort. nicht unmöglich aber das andere wäre einfach einfacher :P)Quote:
würde nicht funktionieren da man dann in die DB eingreifen müsste.
Oder vllt würde es gehen wenn man ein extra Programm nebenbei läuft der auf Wow zugreift und dein username in die von dem Gm umendert beim einloggen würde aber auch nicht funktionieren da mann das passwort bräuchte :D
Peace
ja du hast mich missverstanden:Quote:
Also als kleiner Tip an webdevs.. macht euer script gegen Injections sicher ^^
Zu dem "Charname Check".. Die ganze Sache wird ja Accountgesteuert, Sofern ich einen GM Account habe kann ich Chars anlegen mit den wildesten Namen.. alle hätten dann GM Rechte.
Oder hab ich an der Stelle etwas falsch verstanden und etwas völlig anderes versucht zu erklären? ^^
Jap das ist wie Hellfire jetzt schon sagte die große Frage ;)Quote:
Zudem bezweifle ich das in keinem Packet großartig der Name des GM's auftaucht. Zumindest nicht in direkterweise, vielleicht per zuordnung einer Nummer ums blöd zu sagen (Mir iss nichts besseres eingefallen) :D, like:
0001 : Name1
0002 : Name2
Und so weiter..