[ULB] - Ultimate League Bot, do you want this?

[Melli-]

- Closed -

[Melli-]

The first game against Intro Bots is finished, and I'm happy to share with you the results:

[joelsans]

Good job! Looking forward to it.

[Melli-]

Second game was good too!
Please show me one bot which plays x-0-x

Intro Bots:


11 hours of work, and now I finished the shop system... you can build up your itembuild with 90% of all the items which are existing in League (some support items not implemented)

[Melli-]

After some nice fixes, and implementing now completely the feature that you can use your own itembuild, I got this evening this stats:



I never saw a bot which played like that.

[Melli-]

Beta-test this evening! Registration in discord only! ("beta-test-registration" text channel!)

[Interløgy]

VORSICHT VOR EXIT SCAM:

Wollte ursprünglich helfen ihr ein paar Sicherheitstipps zu geben.
Als ich von ihr erfahren habe, dass sie die MYSQL-Daten mit vollen Privilegien in ihrem Quellcode speichert habe ich ihr vorgeschlagen, eine REST-API zu bauen als Zwischenschicht.

Sie hat mir nicht geglaub und die Erlaubniss erteilt zu versuchen auf die Datenbank zu kommen.
Das hatte ich in ca. 5 Minuten erledigt. Daraufhin hab ich ihr das mitgeteilt.
Nun hat sie mir geglaubt.

Leider wurde sie nach einer Gewissen Zeit und ein paar Sicherheitshinweise sehr pampig und
schon fast beleidigend. Im Discord-Server habe ich die Nutzer darauf hingewiesen, dass ihre Daten
nicht sicher sind. Und vorallem, dass sie sich nicht scheut, ihre Kunden abzuziehen mit einem Klassischen "exit scam". Den Server hat sie anscheinend runtergenommen (zum Glück hat noch keiner gezahlt )

Von dem Release des Quellcodes oder ähnliches sehe ich ab.
Hoffe nur, dass sie kein Projekt online bekommt, denn das kann wirklich gefährlich werden.
Habe ohnehin keine Interesse an der Software.

Thema Sicherheit:




Thema Charakter:
(Exit Scam ankündigung)

[Melli-]

Das ist so falsch was du gesagt hast (bezüglich "Exit Scam").

Ich meinte (und das wüsste man, würdest du alles zeigen) das falls jemand sich reinhackt, ich vorerst alles down mache (was verständlich ist, da die Person dann Zugriff auf die Datenbank hat).
Ich habe dir ebenso gesagt das ich mich damit nicht beschäftigt habe und dies erstmal egal sei, ob jemand auf die Datenbank drauf kommt oder nicht (da dort keine vertraulichen Informationen vorhanden sind).
Mit dem Quellcode hast du selbst über 1h gebraucht, und erzählst mir was von 10 Minuten?? Versteh ich halt leider dann doch nicht.

Wieso äußerst du dich auch nicht zu deiner Drohung die du ausgesprochen hast? Mich im falschen Licht dastehen lassen wollen, aber selbst drohen.



& du meckerst bei mir über MEINEN Charakter rum? Ich lasse Leute KOSTENLOS den Bot testen, und auch wenn sie ihn kaufen wollen, KOSTENLOS eine Trial Version geben, aber mir einen Exit-Scam unterstellen wollen. Pah.

[Interløgy]

Auf die Ausreden gehe ich nicht ein, empfinde ich als nicht nötig.
Bin auch nur hier da um die Kunden vorzuwarnen, wer da mitmacht ist im endeffekt selbst Schuld.
Oder vielleicht bezwecke ich auch sogar, dass dir das nicht mehr alles egal ist und du dich doch noch um Sicherheit kümmerst. Wäre mir alles Recht.

Den Quellcode zum deobfuscaten hat 5 Minuten gebraucht, habe nur versucht rein über Networktraffic die MYSQL packete abzufangen, darin stand aber alles Verschlüsselt, also hab ich mir den Client vorgenommen. Spielt auch keine Rolle, bin kein Hacker oder whatever, just a normal developer.
Wenn ich das in der Geschwindigkeit schaffe, schaffen es andere in einem Bruchteil davon.
Ich rede hier von Root-Rechten auf einem MYSQL-Server, das in kurzer Zeit zu schaffen ist traurig.
Das ich dann aber noch erklären muss, wie man die MYSQL-Daten ändern ist noch vieel trauriger.

Fakt ist, das du keine Rücksicht auf Verluste hast und dir das Thema Sicherheit egal ist.
Letzendlich könnte jemand alle Key´s droppen.

Schon alleine in dem Textfeld das nicht escaped wurde und man einfach schreiben könnte:
"; DROP DATABASE datenbankname;"

Habe dich darauf hingewiesen das es theoretisch möglich sei und du hast darauf sehr angepisst reagiert und wolltest nicht handeln.

Man geht jetzt davon aus, dass du 200 Kunden hast die Zwischen 10€ und 30€ was bei dir gekauft haben. Da du keine Backups machst, ist jemand so Lustig und löscht die Datenbank... was ist dann?

Ich lege dir nur nahe, falls du einen Service online bringst ihn auch ausreichend schützst.
Und vorallem wenn dir jemand was über Sicherheitslücken erzählst diese nicht abblockst, sondern dich dann evtl. doch darüber informierst und wenigstens versuchst sie zu schließen.

Hier zum Abschluss noch ein paar Tipps die ich dir ohnehin schon mittgeteilt habe:
- Kein Datenbankpasswort in Quellcode speichern (REST-API)
- Keine vollen Rechte des Mysql-Users
- Nicht das gleiche passwort für den kompletten Sever verwenden wie für die Datenbank (Im Quellcode einsehrbar)
- Nutz KEEPASS um Passwöter zu generieren, die man sich nicht merken kann
- Escapen der Textfelder die Zugriff auf Datenbank haben (Parameter nutzen maybe)
- Nicht auf Obfuscation verlassen & man kriegt jeden Client auf! Nichts sensibles dort lagern
- Nutz lieber einen Linux server statt Windows (hat mehr Vorteile)

[Melli-]

Wie gesagt, die Zeit habe ich momentan nicht, ich sitze mit Hochturen die ganze Zeit am BOT / an der KI / am queuen etc. Ich hätte sie behoben, wenn ich die Zeit dazu gehabt habe, hab mir auch ebenfalls schon ein 50 Min Video über die "REST-API" angeguckt, werde das wahrscheinlich anders machen. Ich danke dir dennoch! Jedoch fand ich deine Drohung sehr überspritzt und schade, das sowas von dir gesagt wurde! Ich dachte du wärst ein viel lieberer Mensch.

Wie ich auch schon oft genug gesagt habe: wenn jemand die DB kaputt macht, dann ist es ERSTMAL egal, denn er hat kein Zugriff auf andere Dinge. Dann wird eine neue DB aufgesetzt und das war's. Werde aber dementsprechend auch einen anderen Benutzer anlegen der dann nur lese Rechte hat.

By the way ist das Passwort für den Server nicht das Passwort für die Datenbank, sollte aber auch klar sein.

Ich bezeichne das droppen einer Datenbank nicht als Verlust, denn die Keys sind in 5 Minuten alle wieder per Hand erstellt und fertig. Ist jetzt nicht so als würde jemand alles verlieren und jemand anderes die kompletten Kreditkarteninformationen erhalten.

[Interløgy]

Mach wie du meinst. Ist nicht meine Angelegenheit.
Habe mich nur in der Aufgabe gesehen mögliche Opfer dieser Software zu informieren.

Genug Zeit damit verschwendet, wünsche dir noch viel Spaß & Glück mit deinem Projekt. (Keine Ironie)
Und hoffe das du dir ein paar Sicherheitstechnische tipps zu herzen nimmst und als Entwickler/in endlich dieses "ist mir egal" denken ablegst. Schließlich handelt es sich dennoch um Kundendaten (Lizenz, Datum, HWID).

Zum Thema Drohung:
Mich macht sowas einfach unglaublich aggresiv wenn man mit Daten anderer Spielt, denke manche können mich verstehen. Ein Beta-test ist auch keine Ausrede um eine Datenbank offen einsichtlich zu machen.

War an dieser Stelle meine letzte Nachricht.

[Saaja]

#closed