Selbst wenn, was solls?
Ab diesem Zeitpunkt würde ich jedem potenziellen Käufer, von diesem Ding abraten.
Von einem Programmierer der soviel Wert auf irgendeine Art von Sicherheit gibt, sollte man definitv nichts kaufen 
Ab diesem Zeitpunkt würde ich jedem potenziellen Käufer, von diesem Ding abraten.
Von einem Programmierer der soviel Wert auf irgendeine Art von Sicherheit gibt, sollte man definitv nichts kaufen
Wo stand was von Kauf/Verkauf?
& Es geht darum das der es nutzt einen nutzen daraus zieht. Also wen interessiert es, wenn andere daran rumwerkeln?
Du bist hier u.a. in der Handelsecke falls dir das noch nicht aufgefallen ist.
Falls du hier nur präsentieren willst, verschieb ich das gerne in den richtigen Bereich
Darf man nur mit Geld/Bargeld handeln?
Nein, du willst ja scheinbar eine Gegenleistung dafür und bietest es später ja nicht frei zum Download, deswegen wäre das hier der Falsche Bereich
ZitatLauncher und Server Kommunizieren ausschließlich über MySQL.
Wie genau machst du das?
Nein, du willst ja scheinbar eine Gegenleistung dafür und bietest es später ja nicht frei zum Download, deswegen wäre das hier der Falsche Bereich
Das hab ich nicht ausgeschlossen.
Wie genau machst du das?
Was genau meinst du?
Das hab ich nicht ausgeschlossen.
Sag doch einfach was du willst.
Präsentieren und später evtl. kostenfrei zum Download anbieten oder willst du dafür eine Gegenleistung?
Wäre eine nützliche Alternative und Innovation für ausgewählte Server. Authentifiziert man im Launcher fällt die Last für den Gameserver schonmal etwas kleiner aus.
So innovativ und 'Next-Gen' ist das jetzt auch. Es gibt/gab schon einige Server mit Launcher, aber es lohnt sich erst, wenn man viele Spieler hat, die auch bereit sind sich zusatzsoftware zu installieren, um auf dem Server zu spielen.
Die Idee mit dem Authentifizieren auf der Client-Seite, um den Server nicht so zu belasten finde ich echt gut. Man sollte das auch in Roleplay-Server einfuehren, dass der Server nicht die Nutzer-Daten speichert, sondern, dass der Nutzer beim 'Login' einfach eingibt, wie viel Geld, welches Admin Level, etc. er/sie hat. Damit wird der Server erheblich entlastet.
Im Zweifelsfall 2. DB, wie gesagt.
Dann habe ich eine richtige Datenbank, und eine in der totaler Unfug steht, und dann? Willst du die original Datenbank mit der jeder-darf-aendern-und-lesen-was-er-will-Datenbank synchronisieren?
Hast Du ueberhaupt das Problem, welches von einigen hier angesprochen wurde, verstanden, oder ist es Dir einfach egal? Diese 'was solls?' und 'mit dem decompilen von .NET Programmen kennt sich ja sowieso keiner aus' Saetze sehen so danach aus, dass Du Dich anstatt mit dem Problem auseinander zu setzen, Dich darueber zu informieren und anschliessend die Sicherheitsmaengel zu beseitigen, einfach versuchst die Probleme weg zu diskutieren, vielleicht in der Hoffnung, dass sich jemand findet, der das Problem (ebenfalls?) nicht verstanden hat und Dir Geld fuer das Programm geben moechte. (Wobei immer noch unklar ist, ob das Programm verkauft werden soll, oder kostenlos veroeffentlicht werden soll..)
Mit dem einfachen sichern gegen Dekompilierung ist es ueberigens nicht getan. Sicherlich, wird es die meisten langeweile-/Hobby-Taeter davon abhalten sich mit der Datenbank zu verbinden, aber, wenn jemand unbedingt mit seinen Cheats auf dem Server spielen will und sich nicht erst 5 Minuten mit der Materie beschaeftigt, wird er sich das Programm und den Traffic vom Programm genauer ansehen, und sich dann ueber die Zugangsdaten freuen. Auch kann es sein, dass einer der Nutzer ein unsicheres WLAN verwendet und jemand den Traffic mitloggt, zugegeben ein relativ unwahrscheinliches Szenario, aber auszuschliessen ist es nicht. Man braucht also nicht unbedingt das Programm auseinander zu nehmen um an die Zugangsdaten zu kommen.
Wenn das auf Client und Serverseite ordentlich gemacht ist funktioniert das Problemlos & auch sicher.
Das Programm kann zwar, gesichert werden, in dem der SQL-Server gut konfiguriert wird, aber der Aufwand dafuer waere um weiten mehr, als eine einfache PHP-Seite zu erstellen, die korrekt gesichert ist.
Aber Du sagst es so, als ob Du bereits eine Loesung fuer die Sicherheitsprobleme hast? Wie sieht dein Konzept fuer den SQL-Server aus, um den zu sichern?
Selbst wenn, was solls?
Jo. Hast' schon Recht. Dann ist halt die Sicherheit des Servers gefaehrdet, na und? Ich hab' nichts zu verbergen! Kann gerne jeder meine Daten auslesen und aendern wie er Spass daran hat. Passwort verwende ich sowieso immer nur '123', mit Merkzettel beim Admin-Login, falls ich es doch mal vergesse und FTP-Passwoerter merk' ich mir sowieso nie, deswegen haben wir auch keins. Aber wer kennt sich schon mit FTP aus? Die Leute, die von FTP reden kennen sich doch sowieso nicht mit FTP aus.
Sag doch einfach was du willst.
Präsentieren und später evtl. kostenfrei zum Download anbieten oder willst du dafür eine Gegenleistung?
Hier wird zur Zeit, doch sowieso nichts zum Verkauf angeboten ('Das Programm ist aktuell noch in Entwicklung, unterstützt aber schon die Grundfunktionen.', wie es im ersten Post steht). Deswegen denke ich, dass dieser Thread besser im Showroom aufgehoben waere, insbesondere in Anbetracht der Tatsache, dass der Themenersteller selbst sagt, dass er sich unsicher sei, ob das Programm verkauft/verschenkt wird.
Meiner Auffassung nach gehoeren in den Marktplatz sowieso nur Threads zu Dingen, die bereits zum Verkauf stehen, und nicht zu Dingen, die vielleicht in ein paar Jahren zum Verkauf stehen koennten.
Was wäre denn wenn man einen user nur SELECT Abfragen erlaubt? und dann nur für eine Tabelle.
Was wäre denn wenn man einen user nur SELECT Abfragen erlaubt? und dann nur für eine Tabelle.
Dieses Programm, so wie es in der Beschreibung ist, braucht aber auch UPDATE Zugang. Mit nur einem User ist es relativ schwierig das ganze sicher zu realisieren. Um es abzusichern braeuchte jeder User seine eigene Tabelle (und damit seinen eigenen SQL-Server-User), um zu verhindern, dass ein Nutzer einfach alle User, oder nur die Admins, vom Server kickt. ( 'Serverjoin nur durch Launcher' )
Alternativ kann man sicherlich auch etwas in SQL Programmieren, um das System sicher(er) zu machen.
Mit nur einem (im Programm hartkodierten, so wie ich es aus diesem Thread hier verstanden habe) SQL-User ist es nicht so einfach den SQL-Server zu sichern. Es muss ja ueberprueft werden, ob der User sich mit dem Passwort einloggen darf. Wenn nun dieser eine (im Programm hartkodierter) SQL-User Zugang zu der User-Tabelle mit den Passwoertern hat, damit der Launcher auf der Client-Seite ueberpruefen kann, ob das Passwort richtig ist, haelt ihn auch nichts davon ab, zu ueberpruefen, ob das Passwort vom Admin immer noch 'Admin' ist. 
Mit dem ermoeglichen eines direktem Zugangs zum SQL-Server fuer Nicht-Server-Administratoren (und wie man diesen sicher gestaltet) habe ich aber keine Erfahrung und wuerde so ein System nur nach viel Recherche und Tests online nehmen.
Macht doch keinen unterschied.
100.000%ig
Aktuell kann man den Datenbank-login auslesen und die Datenbank manipulieren.
Machst du es mit serverseitigen PHP-Dateien geht das nicht mehr.
Vorher:
- Verbindung zu Datenbank
- Senden der Query
- Verbindung trennen
Nacher:
- Verbindung zu Webserver
- Fragen, ob es den Login admin@tionsys.de : testpassword gibt
- Webserver gibt 1 oder 0 zurück
Dadurch kann nicht jedes Kiddie den Datenbanklogin auslesen und sich verändern, sondern es geht nur dass, was aktuell der Fall ist.
Aber wenn du es nicht willst, dann lass es so. Als Softwareentwickler haftet man übrigens immer für grob fahrlässige Fehler, auch wenn du schreibst, das man mit dem Kauf dem Gegenteil wiederspricht
Alles anzeigenSo innovativ und 'Next-Gen' ist das jetzt auch. Es gibt/gab schon einige Server mit Launcher, aber es lohnt sich erst, wenn man viele Spieler hat, die auch bereit sind sich zusatzsoftware zu installieren, um auf dem Server zu spielen.
Die Idee mit dem Authentifizieren auf der Client-Seite, um den Server nicht so zu belasten finde ich echt gut. Man sollte das auch in Roleplay-Server einfuehren, dass der Server nicht die Nutzer-Daten speichert, sondern, dass der Nutzer beim 'Login' einfach eingibt, wie viel Geld, welches Admin Level, etc. er/sie hat. Damit wird der Server erheblich entlastet.
Dann habe ich eine richtige Datenbank, und eine in der totaler Unfug steht, und dann? Willst du die original Datenbank mit der jeder-darf-aendern-und-lesen-was-er-will-Datenbank synchronisieren?
Hast Du ueberhaupt das Problem, welches von einigen hier angesprochen wurde, verstanden, oder ist es Dir einfach egal? Diese 'was solls?' und 'mit dem decompilen von .NET Programmen kennt sich ja sowieso keiner aus' Saetze sehen so danach aus, dass Du Dich anstatt mit dem Problem auseinander zu setzen, Dich darueber zu informieren und anschliessend die Sicherheitsmaengel zu beseitigen, einfach versuchst die Probleme weg zu diskutieren, vielleicht in der Hoffnung, dass sich jemand findet, der das Problem (ebenfalls?) nicht verstanden hat und Dir Geld fuer das Programm geben moechte. (Wobei immer noch unklar ist, ob das Programm verkauft werden soll, oder kostenlos veroeffentlicht werden soll..)
Mit dem einfachen sichern gegen Dekompilierung ist es ueberigens nicht getan. Sicherlich, wird es die meisten langeweile-/Hobby-Taeter davon abhalten sich mit der Datenbank zu verbinden, aber, wenn jemand unbedingt mit seinen Cheats auf dem Server spielen will und sich nicht erst 5 Minuten mit der Materie beschaeftigt, wird er sich das Programm und den Traffic vom Programm genauer ansehen, und sich dann ueber die Zugangsdaten freuen. Auch kann es sein, dass einer der Nutzer ein unsicheres WLAN verwendet und jemand den Traffic mitloggt, zugegeben ein relativ unwahrscheinliches Szenario, aber auszuschliessen ist es nicht. Man braucht also nicht unbedingt das Programm auseinander zu nehmen um an die Zugangsdaten zu kommen.
Nein, eine zweite Datenbank die die SessionKeys lagert, auf die der Server beim Spieleinstieg zugreift. Worst case wären dann wohl das jemand das Game ohne Launcher starten kann.
Das Programm kann zwar, gesichert werden, in dem der SQL-Server gut konfiguriert wird, aber der Aufwand dafuer waere um weiten mehr, als eine einfache PHP-Seite zu erstellen, die korrekt gesichert ist.
Aber Du sagst es so, als ob Du bereits eine Loesung fuer die Sicherheitsprobleme hast? Wie sieht dein Konzept fuer den SQL-Server aus, um den zu sichern?
Das einzigste Sicherheitsproblem das sich für mich stellt, ist das man evtl MySQL Daten aus der Launcher exe abgreifen kann. Das habe ich zuvor nicht beachtet. Zweite DB und das dürfe geklärt sein.
Jo. Hast' schon Recht. Dann ist halt die Sicherheit des Servers gefaehrdet, na und? Ich hab' nichts zu verbergen! Kann gerne jeder meine Daten auslesen und aendern wie er Spass daran hat. Passwort verwende ich sowieso immer nur '123', mit Merkzettel beim Admin-Login, falls ich es doch mal vergesse und FTP-Passwoerter merk' ich mir sowieso nie, deswegen haben wir auch keins. Aber wer kennt sich schon mit FTP aus? Die Leute, die von FTP reden kennen sich doch sowieso nicht mit FTP aus.
Nein, du hast meine Antwort falsch verstanden, zu dem Zeitpunkt hatten wir den Sicherheitsaspekt schon durch ( 2. DB, etc.). Was solls wenn sich jemand hinterher den Sourcecode holt? Wichtig ist nur, das der der einen Nutzen daraus ziehen Möchte, ihn auch bekommt. Und das ist definitiv gegeben.
Hier wird zur Zeit, doch sowieso nichts zum Verkauf angeboten ('Das Programm ist aktuell noch in Entwicklung, unterstützt aber schon die Grundfunktionen.', wie es im ersten Post steht). Deswegen denke ich, dass dieser Thread besser im Showroom aufgehoben waere, insbesondere in Anbetracht der Tatsache, dass der Themenersteller selbst sagt, dass er sich unsicher sei, ob das Programm verkauft/verschenkt wird.
Meiner Auffassung nach gehoeren in den Marktplatz sowieso nur Threads zu Dingen, die bereits zum Verkauf stehen, und nicht zu Dingen, die vielleicht in ein paar Jahren zum Verkauf stehen koennten.
Dieser Launcher ist nicht so Groß und Aufwändig das ich daran Monate Programmieren müsste. Je nach Resonanz wär der Launcher Relativ schnell abgeschlossen.
Alles anzeigen100.000%ig
Aktuell kann man den Datenbank-login auslesen und die Datenbank manipulieren.
Machst du es mit serverseitigen PHP-Dateien geht das nicht mehr.
Vorher:
- Verbindung zu Datenbank
- Senden der Query
- Verbindung trennen
Nacher:
- Verbindung zu Webserver
- Fragen, ob es den Login admin@tionsys.de : testpassword gibt
- Webserver gibt 1 oder 0 zurück
Dadurch kann nicht jedes Kiddie den Datenbanklogin auslesen und sich verändern, sondern es geht nur dass, was aktuell der Fall ist.
Aber wenn du es nicht willst, dann lass es so. Als Softwareentwickler haftet man übrigens immer für grob fahrlässige Fehler, auch wenn du schreibst, das man mit dem Kauf dem Gegenteil wiederspricht
Die Datenbank die den Login erlaubt, und die Unabhängig von der Server Datenbank ist. Und dann ist es wirklich egal sollte sich jemand zugriff darauf verschaffen.
Prinzipiell muss ich zugeben das eine Realisierung durch PHP auch möglich wäre. Dies müsste man sich wohl aber nochmal überlegen. Ich bin C Entwickler, ich hab nur eine Oberflächliche Ahnung von PHP.
