[Release] Regi Check API (Sind die Daten in Releasten Datenbanken?)

[rollback]

Ich Release heute eine kleine API zum Prüfen ob Accountdaten in Releasten Accounttabellen sind. Natürlich kann ich hier nur die Überprüfen, die ich selbst habe, eine 100% Garantie ist dies also nicht.

API URL:

Code:

http://api.1093dev.com/pwcheck.php

Parameter:

id:

Die ID, die vom Spieler gewählt wurde

pw:

Das Passwort, das vom Spieler gewählt wurde

Beide als SHA256(MySQL 5 Hash)! Es kommen also keinerlei Klartextdaten bei mir an. (Erklärung unten)
Mindestens einer der beiden Parameter muss übergeben werden.

Rückgabe:

• Die Rückgabe ist ein JSON-String, der immer die Keys "id_released", "pw_released" und "combination_released" enthält
• Der Standardwert ist jeweils 0 (false)
• "id_released" ist 1, wenn die übergebene ID gefunden wurde
• "pw_released" ist 1, wenn das übergebene Passwort gefunden wurde
• "combination_released" ist 1, wenn die übergebene ID in Kombination mit dem übergebenen Passwort gefunden wurde
• Wenn ein Fehler, welcher Form auch immer, beim Ausführen auftritt, sind die Werte IMMER 0 und es ist ein weiterer Key ("error") mit der Fehlermeldung zu sehen.

Beispiel Abfrage:

Code:

<?php 
$id = "0001acd8cb4fcbb81afb27c14b4ed5b84c441dff130ce714c96dc1b36eddba4f";
$pw = "67c60fb76781eb2316a28dce9c7dea517ac00ff022c09d8752366aefe1f39675";
 
$api_result = json_decode(file_get_contents(sPrintf("http://api.1093dev.com/pwcheck.php?id=%s&pw=%s", $id, $pw)), true);
 
if (isSet($api_result["error"])
{
	//ein fehler ist aufgetreten
	exit();
}
 
if ($api_result["id_released"])
{
	//achtung: die gewählt id befindet sich in einer releasten datenbank
}
 
if ($api_result["pw_released"])
{
	//achtung: das gewählte passwort befindet sich in einer releasten datenbank
}
 
if ($api_result["combination_released"])
{
	//achtung: die kombination aus id und passwort befindet sich in einer releasten datenbank
}
?>

EDIT:
Aktuell habe ich etwas mehr als 310.000 Datensätze, wovon ID und Passwort als Kombination Unique sind.

---

Übermittlung der Daten - Erklärung:
Die ID sowie das PW müssen als SHA256(Mysql5) Hash übergeben werden.
Hier Codebeispiele für php sowie MySQL:

php:

Code:

$unhashed = "Hallo ich bin ein mega sicheres Passwort!";
$hashed = HASH("sha256", sPrintf("*%s", strToUpper(SHA1(HEX2BIN(SHA1($toHash))))));

MySQL:

Code:

SET @unhashed = 'Hallo ich bin ein mega sicheres Passwort!';
SET @hashed = SHA2(PASSWORD(@unhashed), 256);

SELECT @unhashed, @hashed;

---

Einsehen meines Datenbestandes:

Code:

http://api.1093dev.com/?viewdata=pwcheck.php

[Sphinx²]

Hay,

das selbe hatte ich auch vor aber nicht mit ner public API.
Wird bestimmt einigen helfen.

Gruss
Sphinx

[[-Lee-]]

ich finde es immer noch sau gut von dir. Damit kann man was feines anstellen. Grade für Server gut , die keinen extra Pin einbauen wollen.

[ProfessorEnte]

Coole Idee!
Wenn du Lust hast koenntest du eine Moeglichkeit zur Verfuegung stellen, dass andere dir ihre Account Tabellen auf einem Einfachen Weg zukommen lassen koennen.

So wuerde die Datenbank wachsen und die Sicherheit fuer die User steigen.

[rollback]

Quote:

Originally Posted by ProfessorEnte

Coole Idee!
Wenn du Lust hast koenntest du eine Moeglichkeit zur Verfuegung stellen, dass andere dir ihre Account Tabellen auf einem Einfachen Weg zukommen lassen koennen.

So wuerde die Datenbank wachsen und die Sicherheit fuer die User steigen.

Habe ich auch schon dran gedacht, allerdings möchte ich das nicht komplett automatisieren, weil meine Datenbestände dann wohl bald nicht mehr repräsentativ wären.

Ich überlege mir dazu mal was.

[Computerfreek]

Quote:

Originally Posted by Seחsi

Ich Release heute eine kleine API zum Prüfen ob Accountdaten in Releasten Accounttabellen sind. Natürlich kann ich hier nur die Überprüfen, die ich selbst habe, eine 100% Garantie ist dies also nicht.
[...]
Rückgabe:

• Die Rückgabe ist ein JSON-String, der immer die Keys "id_released", "pw_released" und "combination_released" enthält
• Der Standardwert ist jeweils 0 (false)
• "id_released" ist 1, wenn die übergebene ID gefunden wurde
• "pw_released" ist 1, wenn das übergebene Passwort gefunden wurde
• "combination_released" ist 1, wenn die übergebene ID in Kombination mit dem übergebenen Passwort gefunden wurde
• Wenn ein Fehler, welcher Form auch immer, beim Ausführen auftritt, sind die Werte IMMER 0 und es ist ein weiterer Key ("error") mit der Fehlermeldung zu sehen.

[...]

Falls du die Rückgabe irgendwann noch ein wenig optimieren möchtest, könntest du das alles in eine Statusvariable zusammenfassung und dann die error-section nur bedingt mitzusenden.

Du könntest einfach ein 3-Bit Flag her nehmen, z.B.
ID_FOUND = 1,
PW_FOUND = 2

Setzt man beide Werte, sprich (ID_FOUND | PW_FOUND) so impliziert das, dass offensichtlich beide gefunden wurden.
BOTH_FOUND = 3

Kann keiner gefunden werden, so bleibt das Flag einfach auf 0.
NOT_FOUND = 0

Möchtest du einen error indizieren, so kannst du einfach z.B. -1 als Statuswert nehmen und dann den error setzen.


Alles in allem sparst du so nur ein paar Byte, die übertragen werden. Nichts wildes. Ich denke aber auch, dass das einfacher zu erweitern und zu ändern wäre.

[rollback]

Quote:

Originally Posted by Computerfreek

Falls du die Rückgabe irgendwann noch ein wenig optimieren möchtest, könntest du das alles in eine Statusvariable zusammenfassung und dann die error-section nur bedingt mitzusenden.

Du könntest einfach ein 3-Bit Flag her nehmen, z.B.
ID_FOUND = 1,
PW_FOUND = 2

Setzt man beide Werte, sprich (ID_FOUND | PW_FOUND) so impliziert das, dass offensichtlich beide gefunden wurden.
BOTH_FOUND = 3

Kann keiner gefunden werden, so bleibt das Flag einfach auf 0.
NOT_FOUND = 0

Möchtest du einen error indizieren, so kannst du einfach z.B. -1 als Statuswert nehmen und dann den error setzen.


Alles in allem sparst du so nur ein paar Byte, die übertragen werden. Nichts wildes. Ich denke aber auch, dass das einfacher zu erweitern und zu ändern wäre.

Werde darüber mal nachdenken, allerdings ist nicht unbedingt wenn id und pw found 1 sind auch die Kombination gefunden, weshalb ich neben der 3 noch eine Werte Information bräuchte. Das müsste dann also wieder entweder um einen weiteren key erweitert werden oder die Flag erweitert werden.

[#Secresy]

Anstatt die Api php zu releasen, manche Menschen besitzen größere Datenmengen als ihr

[Computerfreek]

Quote:

Originally Posted by #Secresy

Anstatt die Api php zu releasen, manche Menschen besitzen größere Datenmengen als ihr

Nur verstehen diese Menschen leider das Prinzip von Open Source nicht.
Wer mehr Daten besitzt kann diese ja dem TE zu senden.

Sollte das Projekt Open Source werden, so wäre es auch schön, entsprechende Listen und Datensätze öffentlich zu haben. Um dabei jedoch die Sicherheit der User gewährleisten zu können, finde ich sollte man jeweils ID und PW noch einmal mit SHA2 Hashen, sodass am Ende für die ID gilt: hash=SHA256(PASSWORD(login)) und für das Passwort sollte ebenso gelten hash=SHA256(PASSWORD(password)).
Möchte man das ganze in PHP ohne Datenbank implementieren, so wäre das
sha256(sha1(hex2bin(SHA1(password))))..

[.Optionz]

Wird bestimmt einige Leute davor retten gehackt zu werden

Super Release!

[rollback]

Quote:

Originally Posted by Computerfreek

Nur verstehen diese Menschen leider das Prinzip von Open Source nicht.
Wer mehr Daten besitzt kann diese ja dem TE zu senden.

Sollte das Projekt Open Source werden, so wäre es auch schön, entsprechende Listen und Datensätze öffentlich zu haben. Um dabei jedoch die Sicherheit der User gewährleisten zu können, finde ich sollte man jeweils ID und PW noch einmal mit SHA2 Hashen, sodass am Ende für die ID gilt: hash=SHA256(PASSWORD(login)) und für das Passwort sollte ebenso gelten hash=SHA256(PASSWORD(password)).
Möchte man das ganze in PHP ohne Datenbank implementieren, so wäre das
sha256(sha1(hex2bin(SHA1(password))))..

Kann gerne meinen Datenbestand öffentlich machen. Werde das dann alles nochmal mit sha256 Hashen. Werde mich da ransetzen sobald ich Zeit habe.

[xCPx]

Finde ich ne coole Idee (:
Wenn ich von der Schulung wieder komm und mal Zeit hab kriegst von mir mal n grösseren Batzen.

[rollback]

Mein Datenbestand kann nun eingesehen werden und die Daten sind nun ausserdem noch mit SHA256 gehasht worden.