[RELEASE]Networkchat

[.Colossus.]

interessant...
habe nicht gedacht das so etwas möglich ist.

Vll kann ich daraus was nützliches machen

[Nick]

Hut ab @ .XXShuzZzle - die Idee ist wahrhaft lobenswert.

Nett, was sich mit der Zeit für neue Möglichkeiten aufdecken, das Spiel zu modifizieren, an der Umsetzung haperts meiner Meinung nach auch nicht.
__

Gruß.

[Red Firestar]

Danke für die Arbeit und danke fürs teilen.

[DaRealFreak]

Quote:

Originally Posted by Mi4uric3

Schlechter Code macht es angreifbarer. Und keiner will hier seinen unsicheren Metin2-Server noch unsicherer machen..

Nur einmal Code Ausschnitte:

PHP Code:

nickname_client = player.GetName()
server_client = str(net.GetServerInfo().split(',')[0])
sock = socket.socket(socket.AF_INET, socket.SOCK_STREAM)

...
sock.send(nickname_client + "#" + nachricht + "#" + server_client)

...
Server = nachricht.split("#")[2]
Message = nachricht.split("#")[1]
User = nachricht.split("#")[0]
...
Rechte = Rechtepruefung(Server, User, Befehl)
    Rechte = DoQuery("SELECT allowed FROM globalplayer WHERE user='"+str(User)+"' and server='"+str(Server)+"';", 2)

-->
if (Rechte == "ALLOWED"):
    Text = ExecuteBefehl(Message, Befehl)

----->
Zeiger.execute(Query) 


Du fragst hier nur den player.GetName() ab.
Falls jemand extern die Verbindung aufbaut und einfach den Admin Namen angibt kann er beliebige Queries ausführen, die er mitliefert.


Coding Style würde ich eventuell auch empfehlen, immerhin gibt es extra auf der offiziellen Python Dokumentation x Hinweise, diesen zu nutzen:



Edit:
Was ist überhaupt der Vorteil gegenüber dem normalen Chat, welcher nicht exploitbar ist?

@Raicon:
Wenn dir diese Lücke bereits bekannt war(was ich aufgrund deiner Formulierung stark vermute), wäre es denke ich für andere User hilfreich eben diese Lücke auch zu erwähnen und nicht zu verschweigen bzw. auszunutzen.

MfG DaRealFreak

[.Raicon]

Quote:

Originally Posted by DaRealFreak

Nur einmal Code Ausschnitte:

PHP Code:

nickname_client = player.GetName()
server_client = str(net.GetServerInfo().split(',')[0])
sock = socket.socket(socket.AF_INET, socket.SOCK_STREAM)

...
sock.send(nickname_client + "#" + nachricht + "#" + server_client)

...
Server = nachricht.split("#")[2]
Message = nachricht.split("#")[1]
User = nachricht.split("#")[0]
...
Rechte = Rechtepruefung(Server, User, Befehl)
    Rechte = DoQuery("SELECT allowed FROM globalplayer WHERE user='"+str(User)+"' and server='"+str(Server)+"';", 2)

-->
if (Rechte == "ALLOWED"):
    Text = ExecuteBefehl(Message, Befehl)

----->
Zeiger.execute(Query) 


Du fragst hier nur den player.GetName() ab.
Falls jemand extern die Verbindung aufbaut und einfach den Admin Namen angibt kann er beliebige Queries ausführen, die er mitliefert.


Coding Style würde ich eventuell auch empfehlen, immerhin gibt es extra auf der offiziellen Python Dokumentation x Hinweise, diesen zu nutzen:



Edit:
Was ist überhaupt der Vorteil gegenüber dem normalen Chat, welcher nicht exploitbar ist?

MfG DaRealFreak

Vorteil ist nur das man von Server zu Server chatten kann
Aber zum Thema Style solange ich es gut und sauber lesen und verstehen kann ist es perfekt. Ich meine jeder hat seinen eigenden Style so du deinen ich meinen.... Und wie du schon einen schönen Fehler gefunden hast, kannst du dir ja auch bestimmt denken wieso sowas auf EPvP landet

[Sintiax]

Keine schlechte Idee, wenn es nur noch einer umsetzen würde, das es sicherer wäre ;P