OS BUGFIXING & DOWNLOADS

Quote:

Originally Posted by Fehlgeschlagen Wenn ich den grauen schon sehe xDD Es ist 50% scheiße und 50% ok.. manches hätte man besser machen können.

ach aber hey hauptsache es geht xD

Solang es funktioniert ist ja egal wie es aussieht D:

Quote:

Originally Posted by KeRn95 Finde leider die mssql php's nicht mehr aber hier sind die Sqlsrv php's. Aber achtung diese Login.php und token.php ist für unverschlüsselte pw's für verschlüsselte(md+salt) müssen die php's ein klein wenig um geschrieben werden, verwende diese nur für einen test Server daher war mir dass nicht wichtig! Login.php  Spoiler <?php $user = sql_clean($_GET['Username']); $passhash = sql_clean($_GET['Password']); $serverName = "XXX\SQLEXPRESS"; $connectionInfo = array( "Database"=>"OdinAccounts", "UID"=>"sa", "PWD"=>"Password"); $conn = sqlsrv_connect( $serverName, $connectionInfo); $exec = sqlsrv_query($conn, "SELECT sUserPass FROM tAccounts where sUsername = '$user'"); if($exec) { $AccountData = sqlsrv_fetch_array($exec); $PlaintxtPass = $AccountData['sUserPass']; if (MD5($PlaintxtPass) == $passhash) { die('OK'); } else { die('Wrong Password.'); } } else { die('Query Failed'); } sqlsrv_close(); function sql_clean($str) { $search=array("\\","\0","\n","\r","\x1a","'",'"'); $replace=array("","","","","","",""); return str_replace($search,$replace,$str); } ?> Token.php  Spoiler <?php $user = sql_clean($_GET['Username']); $passhash = sql_clean($_GET['Password']); function rand_string() { $chars = "abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVW XYZ0123456789"; $size = strlen($chars); for($i = 0; $i < 32; $i++) { $str .= $chars[rand(0, $size - 1)]."".rand(0,99); } return $str; } $serverName = "XXX\SQLEXPRESS"; $connectionInfo = array( "Database"=>"OdinAccounts", "UID"=>"sa", "PWD"=>"Password"); $conn = sqlsrv_connect( $serverName, $connectionInfo); $exec = sqlsrv_query($conn, "SELECT [sUserPass] FROM [dbo].[tAccounts] WHERE [sUsername] = '$user'"); $datum=Date("Y-m-d H:i:s"); $exec1 = sqlsrv_query($conn, "SELECT [nEMID] FROM [dbo].[tAccounts] WHERE [sUsername] = '".$user."';"); $EMID3 = sqlsrv_fetch_array($exec1); $ID3 = $EMID3['nEMID']; sqlsrv_query($conn, "DELETE FROM tTokens where nEMID = '$ID3'"); sqlsrv_query($conn, "INSERT INTO tTokens (nEMID, sToken, dDate) VALUES ('$ID3', '".substr(rand_string(), 0, 50)."', '$datum')"); $exec2 = sqlsrv_query($conn, "SELECT sToken FROM tTokens where nEMID = '$ID3'"); if($exec) { $AccountData = sqlsrv_fetch_array($exec); $PlaintxtPass = $AccountData['sUserPass']; $EMID2 = sqlsrv_fetch_array($exec2); $ID2 = $EMID2['sToken']; if (MD5($PlaintxtPass) == $passhash) { echo ''.$ID2.''; } else { die('Wrong Password.'); } } else { die('Query Failed'); } sqlsrv_close(); function sql_clean($str) { $search=array("\\","\0","\n","\r","\x1a","'",'"'); $replace=array("","","","","","",""); return str_replace($search,$replace,$str); } ?> Have fun :) über ein Thanks würde ich mich freuen :) ^^

Da ich ein PhP Kacknoob bin kann ich mit dem Script nix anfangen. Wäre jemand so freundlich nen "How To" zu machen oder sowas damit ich das einstellen kann? Es muss nichma nen Patcher dabei sein es reicht einfach nen Luncher (Username/PW eingeben Token wird in db geschrieben und Authentifiziert und zocken. Wenn ich mir so die ganzen Luncher anschau dann seh ich nur XXXXX *** XXXXX -.- wäre sehr dankbar für ne hilfe :)

für "XXX.." einfach deine daten eingeben.. dafür braucht man kein Php kacknoob zu sein <.<

Quote:

Originally Posted by Sour95 für "XXX.." einfach deine daten eingeben.. dafür braucht man kein Php kacknoob zu sein <.<

Ja naja ich frage mich was ich mit den Script machen soll :( Ich brauche ja dann nen Launcher sonst nützt mir der Script ja auch nix. Wenn ich den script habe was muss ich denn ausser Daten eingeben machen? Nur weil das dann aufm "Server" liegt passiert ja auch nichts anderes -.- Also das meine ich damit. Ich weiß nicht was ich mit dem Script wo machen muss damit ich mit ID und PW einloggen kann :/

Habe gerade mal im Schnelldurchlauf gelesen über was hier geredet wird und es ist mir ein Rätsel, warum ihr alle versucht den Launcher-Login über PHP laufen zu lassen. Wenn im Script auh nur der kleinste Logikfehler drin steckt kann jeder "YouTube-Tutorial"-Nutzer sich serverseitigen Zugriff verschaffen. Zudem ist PHP nicht gerade die schnellste und zuverlässigste Methode.

Die beste und sicherste Methode ist ein serverseiter Dienst. Dieser muss natürlich selber gecodet werden. Vorteile gibt es eine Menge wie z.B. die Stabilität und vorallem das einfachere Überwachen. Gleichzeitig kann dieser als Patcher-Dienst arbeiten wenn man nicht dafür zwei Dienste laufen lassen möchte. Zudem könnt ihr den Launcher-Dienst mit dem Login-Dienst verbinden und Dinge wie Multiclienting abfangen.

Bevor ich es vergesse:
Jeder, der seinen Launcher selber schreibt, sollte darauf achten, dass er Informationen nicht "hard coded". Sprich, die IP, die Store-URL, MD5-Hashes für die FileSecurity und vorallem den Namen der game.exe.
All diese Informationen sollten vom Launcher-Dienst kommen. Sobald der Name der game.exe im Launcher hard coded ist, kann man den Client unendlichfach auf ein- und demselben Rechner starten.
MD5-Hashes für beispielsweise .shn-Dateien oder der game.exe sollten ebenfalls local in einer Datei gesichert werden. Hab ich alles schon gesehen, ist mir ein Rätsel wer auf solche dummen Ideen kommt.

Fazit: Alles was nicht clientseitig sein MUSS, sollte auf jedenfall serverseitig ablaufen. Alles was serverseitig abläuft kann nicht von außerhalb manipuliert werden und genau da liegt der Sicherheitskern^^

EDIT: Für alle, die ihr eigenes FileSecurity Tool schreiben: Um MultiClienting durch PackageManipulating und/oder Bypasses zu verhindern, solltet sich dieses nach dem Start der game.exe NICHT schließen, sondern solange aktiv bleiben, bis das Spiel vom Nutzer beendet wird. Dabei sollte es z.B. jede Minute auf doppelte Prozesse checken oder kann z.B. alle 5 Min. ein schnelles Speicher-Abbild der game.exe erstellen um zu überprüfen, ob im RAM Manipulationen an der game.exe gemacht wurden.
Sollte der Nutzer versuchen, die FileSecurity (während das Spiel aktivi st) per Taskmanger zu "killen", beenden sich alle game.exe-Prozesse mit. Dies ist mithilfe von ProzessBinding möglich, erfordert aber natürlich gutes und logisches Programmieren, sowie gute Kenntnisse in der jeweiligen Programm-Sprache, ist dafür auch ziemlich sicher.

MfG,
ChubbyCrab

@ChubbyCrab

Multi Client ist sowieso durch das spiel NICHT MÖGLICH da "WorldManager" das schon unter
bindet und sollte es dennoch jemand schaffen wird es in den Logs gespeichert.

Zudem jeder der sich ein bisschen auskennt benutzt einen Socket für alles (Client and Server Socket) damit senden wir die Informationen über einen Port an den Server diese Informationen werden zum teil in CRC32, MD5 oder mein lieblings hash SHA-256 umgewandelt zudem werden die Strings noch 4 fach Encodet.

Fazit: Halt dich hier raus. die pserver werden in abteilungen untergeteilt:

1. Noob
2. Advanced
3. Pro

und Launcher mit login.php gehört zu 2.

EDIT: Wenn du doch so gescheit bist.. bitte tu dir keinen Zwang an schreib Code-Snippets und Release sie hier.

Quote:

Originally Posted by Fehlgeschlagen 1. Noob 2. Advanced 3. Pro

Zu geil^^ wobei ich eher denke das gehört zu Noob-Advanced

Quote:

Originally Posted by Juppi2000 Ja naja ich frage mich was ich mit den Script machen soll :( Ich brauche ja dann nen Launcher sonst nützt mir der Script ja auch nix. Wenn ich den script habe was muss ich denn ausser Daten eingeben machen? Nur weil das dann aufm "Server" liegt passiert ja auch nichts anderes -.- Also das meine ich damit. Ich weiß nicht was ich mit dem Script wo machen muss damit ich mit ID und PW einloggen kann :/

Was soll ich nun machen? Ich will ja nich immer den verkackten (Sry dafür) Token Aktualisieren müssten -.- Wäre geil wenn mir wer mit den Scripts helfen kann

Quote:

Originally Posted by Juppi2000 Was soll ich nun machen? Ich will ja nich immer den verkackten (Sry dafür) Token Aktualisieren müssten -.- Wäre geil wenn mir wer mit den Scripts helfen kann

Der Token DARF NUR MAXIMAL 1 Minute verfügbar sein sonst hast du ein
verdammt großes Problem ^^

Da werden die Accounts nach der reihe gehackt.. und das sollte nicht passieren.
deshalb musst du etwas mehr von der Datenbank abverlangen und den token
immer wieder ändern..

Quote:

Originally Posted by Fehlgeschlagen Der Token DARF NUR MAXIMAL 1 Minute verfügbar sein sonst hast du ein verdammt großes Problem ^^ Da werden die Accounts nach der reihe gehackt.. und das sollte nicht passieren. deshalb musst du etwas mehr von der Datenbank abverlangen und den token immer wieder ändern.. PHP Code: <?php     //SQLSERV     sqlsrv_query($connection, "UPDATE [dbo].[tTokens] SET [sToken] = '".$_var['new']['token']."';");     //MSSQL     mssql_query("UPDATE [dbo].[tTokens] SET [sToken] = '".$_var['new']['token']."';") ?>

Habe es bei mir so das er den alten token aus db löscht ^^ bei jedem login

Quote:

Originally Posted by EpicFight Habe es bei mir so das er den alten token aus db löscht ^^ bei jedem login

Unnötig einfach nur Token und Date aktualisieren..


EDIT:

Ich bin nicht der Fan von DELETE Anweisungen in PHP.. da kann schnell mal was ins Auge gehen.

Zudem man wenn man es Löscht 2 Query's braucht und bei UPDATE nur eine..

Abstate Bug - Zonen.exe

Kann mir keiner helfen? Ich will doch nich viel xD nen einfachen Launcher der Atomatisch den Token schreibt vorher ID und PW prüft nach dessen eingabe dann den nach dem log In löscht. Da ich nur mit meinen Freunden Zocken will aber kein bock darauf jedes mal den bes... Token ein zu geben wäre ein Launcher supi. Der Server läuft auf nem Home PC via Hamachi, es würde mir mehr helfen wenn ich wüsste wie ich einen Launcher konfiguriere (bsp: den Odin Launcher) Ich hab wenn ich den Launcher auf mach absolut keinen Überblick was wo wie gemacht werden muss :/ Wenn jemand einen Launcher hat der einfach ist und mir dazu noch sagen würde was ich wo machen muss dann wäre ich wohl sehr Glücklich ^-^

Quote:

Originally Posted by Juppi2000 Kann mir keiner helfen? Ich will doch nich viel xD nen einfachen Launcher der Atomatisch den Token schreibt vorher ID und PW prüft nach dessen eingabe dann den nach dem log In löscht. Da ich nur mit meinen Freunden Zocken will aber kein bock darauf jedes mal den bes... Token ein zu geben wäre ein Launcher supi. Der Server läuft auf nem Home PC via Hamachi, es würde mir mehr helfen wenn ich wüsste wie ich einen Launcher konfiguriere (bsp: den Odin Launcher) Ich hab wenn ich den Launcher auf mach absolut keinen Überblick was wo wie gemacht werden muss :/ Wenn jemand einen Launcher hat der einfach ist und mir dazu noch sagen würde was ich wo machen muss dann wäre ich wohl sehr Glücklich ^-^

Leg Cash auf dem tisch und du bekommst deinen Patcher/Launcher