Beiträge von SBIKA

Ich wollte ja eigentlich nichts mehr dazu sagen, aber: Was habe ich gesagt?
Danke fuer die super Veranschaulichung von dem was ich gesagt habe. Der Wikipedia Artikel war wohl nicht interessant genug, um sich zumindest den ersten Satz durch zu lesen.

Zitat von BlackAce

Callbacks sind Funktionen die durch bestimmte nicht im Script/eigentlichen Programm aufgerufen werden.
Beispiel OnPlayerConnect.

Lies dir einfach den Wikipedia Artikel durch, anstatt, dass du weiterhin inkorrekte Informationen, die du aus deinen eigenen Vermutungen und Informationen von "Ich-hab-voll-Ahnung"-Leuten aufbaust, verbreitest.
Die SA-MP callbacks sind nichtmals callbacks, wenn man es auf das Skript reduziert. Sie werden nur zu callbacks, sobald der SAMP Server sie aufruft. Der SAMP Server macht naemlich inetwa folgendes: Call(FindFunction("OnPlayerConnect")). Der Call() funktion wird also eine Referenz zu OnPlayerConnect uebergeben, darum sind die Funktionen bei einem SAMP Server Callback funktionen und bei einem anderen Programm, dass OnPlayerConnect nicht aufruft einfach nur nutzlose Funktionen.

Das sollte es dann auch von meiner Seite gewesen sein. Du kannst nun einen weiteren Post machen, in dem du mir Bildhaft veranschaulichst, dass du Recht hast. Ich verspreche ich werde auch nicht antworten. Dann sieht es so aus, als ob du mich ueberzeugt haettest.

Wikipedia sagt, dass einige hier ihr Halbwissen umherwerfen. Das macht Wikipedia zwar auch, aber dadurch, dass Wikipedia Wikipedia ist, werden die falschen Informationen auf Wikipedia nach einiger Zeit zur neuen Wahrheit. Ihr seid aber nicht Wikipedia.

Laut: http://de.wikipedia.org/wiki/Rückruffunktion definiert sich eine Callback funktion lediglich dadurch, dass eine Referenz (uebergeben als Parameter) zu einer beliebigen Funktion aufgerufen wird, anstatt, dass die Funktion direkt aufgerufen wird.
Kaliber() wird somit zu dem Zeitpunkt zu einer Callback funktion, zu dem eine Referenz der Timer funktion uebergeben wird. Das hat mit der Auslastung, die das Pawnskript verursacht nichts zu tun.
Kaliber hat also mit seiner ersten Aussage bezueglich Timern in SAMP vollkommen recht. Timer koennen nur Callbacks aufrufen, da die Timer funktion eine Funktionsreferenz haben moechte.

PS.: War mein letzter Beitrag zu dem Thema in diesem Thread, da Leute im Internet meist keine Bemuehungen verfolgen sich zu informieren (auch wenn es nur ein paar Sekunden dauern wuerde), wenn sie sich nicht sicher sind, sondern sich viel mehr Bemuehen andere von ihrem schlecht informierten Standpunkt zu ueberzeugen. Kaum jemand will sich informieren, aber alle wollen recht haben.
Letztlich sind mir die Begrifflichkeiten vollkommen egal, solange man weiss, was man tut koennen Callbacks auch Elefant heissen. Mir egal, schliesslich kann man beim Programmieren/Skripten etwas ganz bequem per Quelltext veranschaulichen, da Bedarf es keiner Sprachkenntnisse.

Zitat von Kaliber

So und ich habe mal einen Speichertest gemacht

Das Resultat:

Die .amx Datei bei normal: 5kb
Die .amx Datei mit emit: 2kb

Die Scripts:
Pastebin (Für emit)
Pastebin (Für normal)

//Edit²:
Habe das ganze mit 4x so vielen Variablen oben getestet Resultat:

Die .amx Datei bei normal: 20kb
Die .amx Datei bei emit: 8kb

Also es macht schon was aus, wenn man viele Variablen verwendet

Alles anzeigen

Du vergleichst ja auch zwei verschiedene codes und verwendest die default-compiler optionen, welche nicht so eingestellt sind, dass moeglichst wenig informationen/codes gespeichert werden.
In dem normalen code setzt du a und b andauernd auf 1. In dem #emit code aber nicht.
public OnGameModeInit()
{
new time = GetTickCount(), a,b,c;
for(new i; i<6; i++)
{
c = (a+b);
c = (a+b);
...
Wenn dieser code mit dem debugging level 0 kompiliert wird (pawncc -d0 src.pwn, oder in pawno "-d0" zu den parametern unter "Run options" hinzufuegen), dann ist die resultierende amx datei sogar circa 10 byte kleiner.

RakNet unterstuetzt IPv6. Da aber der Server schon beim RCON login eine IPv4 Adresses verlangt denke ich nicht, dass SA-MP IPv6 unterstuetzt. Ob man SA-MP mit einer IPv6 Adresse spielen kann, kann ich nicht mit Sicherheit sagen. (Da wie gesagt das zugrunde des SA-MP Netzwerkes liegende RakNet die moeglichkeit bietet IPv6 zu unterstuetzen, aber bei der Programmierung von SA-MP kein grosser Wert auf IPv6 Unterstuetzung lag.)
Der SA-MP Server Browser hat bei mir Probleme "::1" (die IPv6 Version von "127.0.0.1") korrekt in die Liste einzufuegen. Der Server Browser interpretiert wahrscheinlich die Eingabe als IPv4 Adresse mit ":Port" am Ende und kommt daher zu dem Ergebnis, dass es keine Korrekte Adresse sein kann. (IPv4 Adressen hinter denen kein Server steht koennen in die Liste ohne Probleme eingefuegt werden.)

Wie ich bereits in diesem Thread (Link) angemerkt habe ist eine FTP-Loesung nicht die beste Loesung in bezug auf die Sicherheit. (Konnte leider den alten Thread 'UCP-Programm' nicht finden, dort hatte ich es etwas eindeutiger erlaeutert.)
Sicherheitstechnisch ist es nicht ganz so leicht einen FTP-Server zu sichern (im Vergleich zu einem HTTP-UCP).
Daher wuesste ich gerne, ob folgendes zitat so zu verstehen, dass der Verkaeufer sich um die Sicherheit kuemmert und der Kunde nur die FTP-Daten seines eigenen Servers zur Verfuegung stellen muss um eine sichere Applikation zu erhalten?

Zitat von Stage6

Daten werden per FTP ausgelesen. Es ist nicht möglich das sich andere einloggen können, da auch alles über verschiedene FTPs läuft.

So wie ich das verstehe stellt der Verkaeufer also nicht den FTP-Server des Kunden ein, sondern einen vertrauenswuerdigen Proxy-FTP, welcher dem Client keinen Zugriff gewaehrt, sofern zum Beispiel das Passwort oder der Benutzername falsch ist. Sodass quasi nur der Proxy-FTP Zugriff auf die original Daten hat und der Client nicht einfach die Daten von dem Kunden FTP auslesen kann?

Bin ein wenig verwirrt, ob ich das so korrekt verstanden habe, oder ob ich den Post falsch verstanden habe.

Bei der Quelltext version (sofern es eine geben wird) wuesste ich gerne, ob es erlaubt ist das Branding zu entfernen? Also Variante 3 zusaetzlich mit Quelltext?

Edit:
@Travelga
Der Quellcode ist zum Beispiel bei SA-MP die '.pwn'-Datei, aus welcher das Script erzeugt wird. Bei Programmen ist es genau so. Wenn man also den Quellcode hat kann man den FTP-Server zum Beispiel selbst aendern, oder auch das Design des Programmes. Um solche Aenderungen durchzufuehren braucht man ein wenig Erfahrung mit Visual Basic, oder zumindest mit der Visual-Studio-IDE. Ohne Erfahrung kann das schnell frustrierend werden, deswegen ist der Service vom Verkaeufer die Aenderungen fuer den Kunden zu machen gar nicht schlecht.

Zitat von Mustang96

Wir sollen eine .mp3 Datei erstellen, die zufällig nacheinander aus einem bestimmtem Ordner die .mp3 Dateien abspielt.
Dies ist zum Beispiel bei dem Internetradio ilovaradio (deren .mp3 datei: http://87.230.53.70/iloveradio1.mp3) so.

Das ist meines Wissens nach so nicht moeglich. Da aber das angegebene Beispiel eine Internetseite ist nehme ich an, dass die 'mp3' datei von einem Server geladen werden soll und keine lokale mp3 Datei sein muss.
Deswegen ist die vermutlich einfachste Loesung (neben einer professionellen streaming Software) eine PHP datei zu erstellen, die in einem angegebenen Verzeichnis, oder dem Verzeichnis in dem die PHP-Datei liegt, nach *.mp3 Dateien sucht und zufaellig eine auswaehlt. Diese wird dann einfach ausgegeben. (HTTP-Header anpassen nicht vergessen. Beispiel) Die Datei Endung von der php Seite kann dann per htaccess/mod_rewrite angepasst werden, sofern die Endung wichtig sein sollte. (Die meisten Programme interessiert die Dateiendung einer Datei von einem Server sowieso nicht, sondern nur der HTTP-Header.)
Auf einem Produktionssystem ist das natuerlich zu optimieren, da diese Methode ziemlich ressourcenfressend ist (jeder neue HTTP-Request sorgt dafuer, dass der Ordner durchsucht wird und eine Datei gelesen und versendet wird). Professionelle Streaming software, wie das bereits genannte Icecast, ist fuer Server mit vielen Clients/Zuhoerern besser ausgelegt, als ein schlecht optimiertes PHP Script.

PS.: Wenn es keine serverseitige Loesung sein muss, kannst du deinem Lehrer auch zeigen, dass die meisten Musik-Programme eine random-Funktion anbieten, die automatisch einen zufaelligen Song auswaehlen - dafuer muss man auch nichts programmieren oder neue Software installieren.

Wie Twonki bereits sagte kann man sich nichtmal ein Fahrrad mieten und muss lange laufen um ueberhaupt irgendwo hin zu kommen. Der im Tutorial empfohlene Beruf 'Bauer' erfordert einen Fuehrerschein, den man sich fuer 15000 kaufen kann. Da man aber mit nur 200 Startkapital auf den Server kommt und selbst das Mieten von einem Fahrrad das 5fache kostet kann man sich den Fuehrerschein nicht kaufen und somit den empfohlenen Beruf nicht ausueben. Man hat also keine Moeglichkeit Geld zu verdienen, da man keinen Fuehrerschein hat, kein Geld um sich einen Fuehrerschein zu kaufen und ist zur Mitte der Map gelaufen um den Beruf 'Bauer' zu erfuellen. Zurueck laufen wollte ich nicht mehr. Deswegen habe ich mich einfach umgebracht. Nach dem Tod und wieder am spawn realisierte ich, dass ich bereits 20 Minuten mit laufen verbracht habe und nicht nochmals zu der Stadthalle gehen moechte um einen anderen Beruf auszuprobieren.
Bugs sind auch einige zu finden. /stats zeigte mir zum Beispiel 29 kills und 1 Tod an, trotz, dass ich weder jemanden getoetet habe, noch gestorben bin (nach dem Tod habe ich nicht darauf geachtet, ob die Anzahl der Tode anstieg). Eine Meldung ueber eine $7000 Zollgebuehr wurde mir an einer Stelle angezeigt, an der kein Gebaeude war, dafuer habe ich spaeter ein Gebaeude gesehen, welches vermutlich die Zollstation sein sollte. Das ignorieren der Zollgebuehr hatte (zum Glueck) keine negativen Konsequenzen. Neben dem Zollgebaeude waren einige Autos im Wasser.
So ist meine Erfahrung mit dem Server. Der erste Eindruck zaehlt und, da ihr die Servervorstellung bereits gepostet habt (und nicht bis zum 17.10 mit der Vorstellung gewartet habt) und ihr die Server IP bereits bekannt gegeben habt (Signatur von Threadersteller) kann ich von dem Server zu diesem Zeitpunkt nur abraten, da es Zeitverschwendung ist.
Man sollte etwas erst dann vorstellen, wenn man entweder Unterstuetzung (wie einem Scripter) sucht, oder, wenn man meint, dass es bereit ist fuer ein breites Publikum zugaenglich sein sollte (was vorraussetzt, dass es weitestgehend Bugfrei ist und Erfolg verspricht). Deswegen haettet ihr lieber mit der Vorstellung warten sollen, bis der Gamemode zumindest Spielbar ist. Zum jetztigen Zeitpunkt ist es nur Spielbar, wenn man von jemanden Geld bekommt.

Zitat von 4#Future

Um die Zeichensetzung bzw. Sonderzeichen kümmert sich MySQL selbst.

@EDIT

Ich führe keine weitere Diskussion fort, da das Thema geklärt ist.

mysql_query("INSERT INTO `motd` (`news`) VALUES('" . $_POST['text'] . "')");
INSERT INTO `motd` (`news`) VALUES( '<text>' )
Stimme 4#Future voll und ganz zu. Da koennte niemals je etwas schief gehen, da MySQL sich um Zeichensetzung, Sonderzeichen etc. kuemmert.
<text> = "') Was ist denn jetzt kaputt?"
INSERT INTO `motd` (`news`) VALUES( '') Was ist denn jetzt kaputt? )
Oh.

PS.: Echt laecherlich das Verhalten, das manche an den Tag legen. Fehlerhafte Loesungen posten und gleichzeitig sagen, dass man der Beste sei etc. Kindergarten krieg auf hoechstem Niveau.

Es geht dir also um das gecodete, welches wir nicht bewerten koennen, da du den Quelltext nicht beigefuegt hast und nicht um das Design, welches wir bewerten koennen? Ok.

Was wir bezueglich des gecodeten bewerten koennen hat 'Don Padrio' schon gesagt (mit SQLi meint er Sql injection). Soweit ich das beurteilen kann sind die von ihm genannten Probleme beim lesen von PMs behoben.
Da die Sicherheits relevanten Themen immer noch aktuell sind (nicht repariert) hier ein konkretes Angriffsszenario, um die Tragweite von den Thema zu Verdeutlichen: <Link removed>
Die PMs zu lesen ist noch das harmloseste. Schlimmsten falls wird der gesamte Server kompromittiert. Daher sollten eingaben von Nutzern niemals direkt in einen SQL-Query!

Man kann die Beitraege von anderen Loeschen. (Ich denk nicht, dass Test ein admin account ist?)

Sql injection auf checkdaten.php moeglich. Nur weil $_POST daten nicht so leicht zu veraendern sind, wie $_GET daten, bedeutet das nicht, dass es nicht moeglich ist. Selbes gilt fuer die user.php (die Usersuchen funktion).
Session hijacking ist moeglich. Nach einem erfolgreichen Login sollte die Funktion session_regenerate_id benutzt werden, bevor die $_SESSION['id'] gesetzt wird und damit der User als eingeloggt gilt.
Die Konfiguration koennte ein wenig erleichtert werden in dem die Daten, die man bei einem Server und Gamemode wechsel aendern muesste in eine seperate Datei geschrieben werden. Auf der ucp.php ist zum Beispiel die Server IP gespeichert und in topindexucp der Titel der Webseite.

PS.: Alle Seiten habe ich nicht ueberflogen, daher sollten die Seiten insbesondere nochmals auf Sicherheits relevante Aspekte ueberprueft werden, wie sie in checkdaten.php und user.php zu finden sind. (SQL injection)

Funktionsumfang ist zur Zeit nicht sehr gross. Nur Passwort wechseln. Hat nicht viel mit 'Control' zu tun.
Sicherheitstechnisch konnte ich beim groben Ueberfliegen des Quelltextes nur die moeglichkeit eines Session-Hijackings finden. Nach einem erfolgreichen Login sollte die Session neu generiert werden, bevor der User als eingeloggt gilt.
Das Design sieht schlicht aber nicht schlecht aus, bis auf das Design der Statistik Seite. Der pech schwarze Hintergrund hinter dem Text der Statistiken passt nicht zum Rest der Seite.

Zitat von POSEID0N

Das was du von dir gibst, ist Unsinn. Woher hast du denn bitte die Statistik davon, wie viele Server erstellt wurden?

Kann man im Internet nachgucken (z.B. wayback machine). Man muss dabei aber auf die Uhrzeit/Wochtentag achten. Die Ergebnisse sind auf Grund der grossen Informationsluecken und unterschiedlicher Wochentage/Uhrzeiten nicht leicht kombinierbar, jedoch laesst ein Vergleich der Zahlen zu aehnlichen Uhrzeiten den Schluss zu, dass es sogar mehr Spieler gibt, als vor zwei Jahren. 2010, 18.000 Spieler, 2011, 25.000 Spieler. Jetzt gerade werden auf sa-mp.com sogar 35.000 Spieler angezeigt. Die Aussage, dass sa-mp ausstirbt (also auf dem 'absteigenden Ast' ist) ist statistisch nicht haltbar und basiert vermutlich nur auf Deinem persoenlichen Gefuehl.

Zitat von POSEID0N

Und wer interessiert sich hier im Forum für SAMP? 10% und oder weniger? - das Forum ist auch nicht mehr das, was es einmal war, die Benutzer sehen das hier als Allroundboard an, wo man über seine Herzschmerz Probleme reden kann, wo man schreiben kann, das man Krank geworden ist und Hilfe braucht, das man sich hier über jeden Mist aufregen kann. Und dann möchtest du mir sagen, das was ich gesagt hatte, Unsinn ist? überleg erstmal Ben.

Sehr sachliche Argumentation, ohne persoenlich zu werden, mit vielen Referenzen und Zitaten, die deine Aussagen untermauern. Du lieferst zahlreiche, leider durchsichtige, Beweise dafuer, dass InternetInk mit seiner These falsch liegt, dass die SA-MP community sogar mehr aktive Mitglieder hat/mehr Aktivitaet zeigt und deine These, dass die SA-MP community immer weniger aktiv ist korrekt ist. Super Beitrag.
In beiden Faellen gilt: Man muss nicht von sich auf andere schliessen. Wenn Du keinen Spass mehr an SA-MP hast bedeutet das nicht, dass die gesamte SA-MP community kein Interesse mehr an SA-MP hat und wer kein Interesse an SA-MP mehr hat kann sich ein anderes Forum suchen - niemand wird dazu gezwungen zu bleiben.

Zitat von POSEID0N

wie ich schon sagte, an deiner Stelle, würde ich Pawn lassen, ist in meinen Augen unnötig. An das erste, was ich mich damals gesetzt hatte, war Visual Basic 2006. Wie auch immer, mach was du willst, war nur ein guter Tipp, direkt mit C++ anzufangen.

C++ zu lernen ist keine schlechte Idee, aber auch nur sofern man etwas brauchbares damit vor hat und einen Nutzen daraus zieht. Fuer sa-mp c++ zu lernen ist aber vollkommen uebertrieben und wenn man in Pawn wirklich gut sein moechte, dann ist C++ zu lernen keine gute Idee. Schliesslich lernt man auch nicht Flugzeug fliegen, wenn man ein guter Auto fahrer werden will. Wer gut im Auto fahren werden will soll Auto fahren und nicht Flugzeug fliegen. Pawn ist nur vom Syntax her aehnlich zu C, aber hat im Vergleich zu C/C++ letztendlich vollkommen unterschiedliche zugrunde liegende Konzepte. Man kann also nicht "Pawn perfekt lernen" indem man sich mit etwas anderem befasst. Erfahrung mit C-Syntax erleichtert nur den Einstieg!

Zitat von Tion

SBIKA, wo genau möchtest du fürs HiJacking ansetzen ? Alle Sessions durchraten ?

Zitat von SBIKA

dass der Angreifer dem Opfer einen Link zukommen laesst, bei dem die "PHPSESSID" gesetzt ist. Wenn der server nicht session_regenerate_id bei dem Login benutzt, dann ist es dem Angreifer moeglich die Session zu stehlen, da er die PHPSESSID kennt, welche die Login daten des Opfers nun hat (da sich dieser ueber den Link eingeloggt hat).

Cookies muessen entweder geleert oder deaktiviert sein, denn der PHPSESSID im Cookie wird eine hoehere Prioritaet zugewiesen, als der mit HTTP-GET uebermittelten PHPSESSID. (Zumindest bei dem Apache Server - bin mir nicht sicher ob das eine eigenart vom Server oder von PHP ist.) Wenn das gewuenschte Opfer also niemals seine Cookies leert und der Server niemals die sessions (den session-cache) leert, oder nach einer bestimmten Zeit als ungueltig erklaert - dann hat der Taeter keine so grosse Angriffsflaeche, trotz unsicheren Systems. Man koennte sagen, dass das System dann so unsicher ist - dass es schon wieder sicher ist.

Zitat von Tion

Und Session-Hijacking ist das klauen von Sessions von anderen Benutzern - das geht nur, wenn die Webseite gehackt wurde ( z.B. durch eine XSS-Lücke )

Inkorrekt. Bei dem von dir gezeigten Code ist Session-Hijacking moeglich. Bei erfolgreichen Login sollte zumindest ein session_regenerate_id stehen.

@.Steven.
Hatte mir schon gedacht, dass du das auf ein und demselben Server ausprobiert hast. Aber schoen zu sehen, dass du dir nicht zu fein dafuer bist einen Fehler zuzugeben. Andere haetten einfach nichts mehr dazu gesagt, oder sogar versucht den anderen tod zu quatschen (weil "nur meine Meinung ist richtig"), ohne jemals auszuprobieren, ob der andere nicht vielleicht doch recht hat/man sich geirrt hat. Haette dieses Forum ein reputation-system wuerdest du dafuer +1 von mir bekommen.

Zitat von .Steven.

Daher ist es wichtig, immer einen Session Namen zu wählen, welcher nicht/oder nur schwer identifizierbar ist.

Indemfall "logedin" ist extrem unsicher. Auch sehe ich viele Panels die als Session Name "username" nehmen.

Ich könnte jetzt als Potenzieller Angreifer einfach bei mir auf dem Webserver eine Session mit diesem Session Namen starten

eg.

session_start();

$_SESSION['logedin'] == true;

Zack wäre ich eingeloggt.

Das nennt man auch "Session Hijacking".

Viele sind sich garnicht bewusst, wie schnell Personen in Fremde Systeme eindringen und dann versuchen weitere Sicherheitslücken zu finden.

Darum immer daran denken!

Einen SessionNamen nehmen, der richtig schwer ist.

Zb. ein WPA2-KEY generieren und den als Session Namen setzen.

eg. $_SESSION['RGWyU9JnBnbMAkS3SXKTHzKVDcSxFX58ppqDPXpHRiCKqtUnTLv7hxENKrpdXWE'] == $id;

Oder um es noch sicherer zu machen, einfach jedes mal eine neue Session beim Login generieren und dann in die Datenbank des Benutzers eintragen.
Das bringt ein zusätzliches Sicherheits Plus.

Ich programmiere seit 2007 an Webbasierten Diensten und kann da aus Erfahrung sprechen.

Alles anzeigen

Wie bitte? Entweder habe ich keine Ahnung, oder du hast keine Ahnung, aber soweit ich weiss ist das mit dem Session-Namen Bloedsinn. Stimme dir aber voll und ganz zu, dass die session neu generiert werden muss, sobald der Login erfolgreich war - das reduziert die Gefahr eines Session-Hijacking.
Deine Erklaerung einer Session-Hijacking ist sehr schwammig und ich bin mir nicht sicher, ob du das Prinzip korrekt verstanden hast. Unter session-hijacking versteht man bei Webservern mit PHP, dass der Angreifer dem Opfer einen Link zukommen laesst, bei dem die "PHPSESSID" gesetzt ist. Wenn der server nicht session_regenerate_id bei dem Login benutzt, dann ist es dem Angreifer moeglich die Session zu stehlen, da er die PHPSESSID kennt, welche die Login daten des Opfers nun hat (da sich dieser ueber den Link eingeloggt hat). Siehe dazu auch Wikipedia und consus.de (auf consus werden Gegenmassnahmen erlaeutert).

Das mit dem Session-Namen ist bloedsinn - denn session Daten werden auf dem Server gespeichert. Um also die Session Daten in der Weise zu erstellen oder zu aendern, wie du es in deinem Video machst braucht man eine PHP auf dem Server (nicht irgendeinem Server, so wie du es dargestellt hast, sondern auf dem angegriffenen Server!), dass heisst es muss bereits eine gravierende Sicherheitsluecke vorhanden sein ueber die eine PHP-Datei auf den Server geschleust wird.
Des weiteren ist der 'Session Name' ($Test['Name']) letztendlich nicht der Name der Session, sondern nur eine Variable, der Session. Die Session-Variablen werden auf dem Server gespeichert - der Nutzer hat damit nichts am Hut und wenn ich auf meinem Server eine Session mit der Variable "google ist doof" erstelle, so hat das keine Auswirkungen auf den Google server.

Werde mich gerne eines besseren Belehren lassen, sofern ich etwas falsch verstanden habe.

Zitat von кιℓℓєяѕтσηє™

Wie konnte er über unsere Nummer anrufen??

Ihr habt ein DSL-Modem, welches fuer Telefon (wegen Internet-Telefonie) und Internet zustaendig ist, korrekt?
Wenn nicht, dann reicht es den letzten Satz zu lesen, denn ich gehe hier nun davon aus, dass Ihr ein derartiges Modem habt und die Fernwartung missbraucht wurde.

Solche Geraete haben meist eine Fernwartungs Funktion (die meines Wissens nach eigentlich standardmaessig aus gestellt sein sollte) und da sie auch fuer das Telefon zustaendig sind erlaubt es einen Angriff. Ein Angreifer koennte sich Zugriff auf die Fernwartung verschaffen und die Rufnummern-Umleitung auf eine kostenpflichtige Rufnummer aendern, welche dem Angreifer spaeter Zugriff auf das Geld gibt (sei es ein vom Angreifer angemeldeter Service der dann meist im Ausland sitzt und nach kurzer Zeit wieder abgemeldet wird, oder ein fremder Service, der den Zugriff auf das Geld/eine Leistung erlaubt, wie der von dir angesprochene Service).

Zumindest die Angreifer-Rufnummer sollte noch auf dem modem gespeichert sein (die Nummer hat angerufen und wurde nicht angerufen!).
Einfach mal die Logs durchforsten fuer die betroffene Zeit, vielleicht findet man einige Fehlgeschlagene Login-Versuche (Stunden manchmal sogar Tage) vor dem eigentlichen Angriff. Unter den (erfolgreichen) eingehenden Anrufen sollte man die Rufnummer des Angreifers auffinden (setzt voraus, dass ein derartiger Angriff statt gefunden hat). Sofern der Angreifer nicht mit einer Auslandsrufnummer angerufen hat, sondern mit einer inner-deutschen, so hat man sicherlich gute Chancen das Geld von demjenigen einzuklagen, wenn man daran gedacht hat genuegend Beweise zu sichern (wie die Logs vom Modem, die im besten fall die korrekte IP des Angreifers unter fehlgeschlagenen Logins zeigt, die Rufnummer zu der Zeit des Angriffs und, dass die Rufnummern umleitung auf die kostenpflichtige Rufnummer aktiviert wurde).

Wenn es sich tatsaechlich herausstellen sollte, dass es ein derartiger Angriff war, so sollte man sich mit der Polizei (diese koennen vielleicht die Angreifer rufnummer zum Angreifer zurueckverfolgen) und mit einem Anwalt in Verbindung setzen, um sich professionell beraten zu lassen. Ausserdem sollte man sich, wenn man Beweise dafuer hat, dass ein Angriff stattfand, mit dem Anbieter in Verbindung setzen und auf deren Kulanz hoffen. (Mit ein paar Logs aus dem Modem, die die Aussage, dass ein Angriff statt fand, unterstuetzen, lassen die sich vielleicht eher Umstimmen die Kosten zu teilen, oder sogar zu erlassen.)
Am wichtigsten sollte nach einem derartigen Angriff, jedoch das Ausstellen der Fernwartungs-option sein.

Es besteht natuerlich auch noch die Moeglichkeit, dass es eigentlich gar kein Angriff war.

Du kannst dein Glueck mal mit ein paar Kompressions/Archivierungs Funktionen versuchen:
http://www.php.net/manual/en/refs.compression.php

Die lzf, Bzip2 und Zlib Funktionen sehen so aus, als ob sie fuer einen derartigen Zweck nuetzlich sein koennten (die akzeptieren strings in den Funktionen):
http://www.php.net/manual/en/function.lzf-compress.php (lzf)
http://www.php.net/manual/en/function.bzcompress.php (bzip2)
http://www.php.net/manual/en/function.gzdeflate.php (zlib)

Aber, dass bei einem so relativ kurzen string mit einer der Methoden noch viel komprimiert werden kann wage ich zu bezweifeln.

Habe gerade einen kurzen Test durchgefuehrt und bei allen drei Methoden und der im ersten Beitrag angegebenen Zeichenkette (OLDUSjfoicjyosdif...) hat es entweder keine Komprimierung gegeben, oder sogar zum erweitern der Daten gefuehrt (92 byte mit BZip2 und 76byte mit GZip, anstatt der 56 byte in Unkomprimierter Form). Keine kompressions Methode war in der Lage unter die schon vorhandenen 56 byte zu kommen. Bei einem groesseren string ist das schon anders. Eine ca. 515 KB grosse Datei (forum.sa-mp.de Startseite) hat GZip in nur 53 KB umgewandelt. Die DEFLATE methode hat 55 KB als resultat und BZip2 hat es sogar unter 30 KB geschafft (dauerte aber auch merkbar laenger).
Je nach Konfiguration und dem Inhalt der zu komprimierenden Zeichenkette koennen auch bessere und schlechtere Ergebnisse erreicht werden. Eine Datei mit 515 tausend 'a' kann auf wenige byte gebracht werden, aber eine Datei mit 515 tausend zufaelligen Buchstaben, kann nicht so leicht Komprimiert werden.

Zitat von Pille_

Klar - es ist toll wenn man kostenlos Hilfe bekommt, und es ist auch toll, wenn man jemandem helfen kann,
mit Geld oder ohne, jemandem zu helfen gibt einem ein gutes Gefühl, aber wenn jemand die Hilfe so
dringend braucht, dass er auch gerne dafür Geld gibt, dann sollte man nur Hilfe gegen Geld anbieten, ist es nicht so?
Es wäre ja meiner Meinung nach unfair gegenüber den anderen Usern, die gerne das Geld für ihre Arbeit genommen hätten.

Stimme da absolut zu. Und die hungernden Afrikanischen Familien kriegen einfach so umsonst Essen von Hilfsorganisationen. Voll unfair, schliesslich haetten die Leute jede sklaven Arbeit dankend angenommen, wenn sie dafuer Ihre Familie ernaehren koennen. Wenn jemand so dringend Hilfe braucht, dass er eine Gegenleistung anbietet (sei es in Form von Geld oder Arbeit), dann sollte man nur Hilfe gegen diese Gegenleistung anbieten.

Mal im Ernst - Gratis Angebote zeigen doch am Besten den Hobby/Freizeit Aspekt, den SAMP aus macht. Sicherlich gibt es den ein oder anderen, der gerne einiges an Geld in die Hand nimmt um virtuelle Gueter fuer sein Hobby zu kaufen, doch die meisten haben daran kein Interesse. Wenn man sich einfach mal die Anzahl von Leuten klar macht, die aus reiner Spass an der Freude sich mit dem spielmodi entwerfen beschaeftigen, sollte einem auch klar sein, dass es auch viele Hilfsbereite Menschen gibt, die anderen aus dieser Community gerne helfen, oder, die lieber in einer Gruppe dazu lernen und sich gegenseitig unterstuetzen. Habgierige Menschen haben in einer Hobbycommunity, die keine physischen oder kommerziellen Gueter braucht um ihr Hobby auszufuehren, kein leichtes Spiel.

Diese muessen sich dann, wie Lan bereits sagte, anstrengen (um besser, als die kostenlose Konkurrenz zu sein), damit sie an das Geld der Hobbyisten kommen.
Entweder man ist guenstiger, oder man ist besser, als andere. Teuer und so gut wie alle anderen Funktioniert nur, wenn man bereits ein Monopol hat, wie beispielsweise Microsoft im Heimcomputer-Betriebssystem Bereich.
Aber auch ein riesiges Unternehmen, wie Microsoft, hat mit 'leider nicht habgierigen Hobbyisten' zu kaempfen, die einfach so aus Spass gemeinsam komplette Betriebssysteme entwickeln (bspw. Linux).

Connect kann bei UDP nur selten eine Ausnahme werfen, wenn zum Beispiel bei der Initialisierung irgend etwas falsch gemacht wurde, aber nicht wenn der Server nicht antwortet, da ein UDP connect nichts sendet (sondern nur den Server als standard Ansprechpartner fuer send() definiert) und deswegen der Server auch nicht antworten muss/kann.
Sofern der Server auch einen offenen TCP Port hat, kannst du den einfach anfragen, wobei das dann nicht unbedingt bedeutet, dass auch der Spielserver auf dem Server laeuft.

Wenn du ein korrektes Ergebnis haben willst musst du schon ein spezielles SAMP-Query an den Server schicken und warten, ob eine Antwort kommt. Wenn keine kommt kann das mehrere Gruende haben. Entweder war das Query packet nicht korrekt zusammen gesetzt, oder der Server ist einfach offline.

PS.: Da es immer noch um das selbe Thema geht, wie zuvor haettest du auch den alten Thread von dir Nutzen koennen, anstatt deine Posts dort zu loeschen. Soetwas finde ich ueberigens ziemlich nervig, denn sofern spaeter jemand ein aehnliches Problem haben sollte und bei google den Thread findet (sich vielleicht auch noch freut, dass er endlich etwas gefunden hat) und dann nur einen leeren Thread vorfindet, weil ein grossteil der Beitraege einfach vom User wieder geloescht wurden, ist das recht aergerlich. Spreche da aus Erfahrung.

Die Applikation wurde fuer Windows Vista gemacht. Da hilft auch kein wechseln der .Net umgebung, da die kein update der kernel32.dll darstellt.