|
| Author |
Message |
Asterix1982
Lucker No.1
Joined: 08 Nov 2007
Posts: 1729
Location: Auf Kohle geboren, um KÖNIGSBLAU zu sterben!
|
 Posted: Sat Mar 29, 2008 10:16 am Post subject: |
 |
|
| lollollol3000 wrote: |
| kein problem |
danke   |
|
| Back to top |
|
 |
Zappelruebe
King of ROFL
Joined: 13 Sep 2007
Posts: 1795
|
| Posted: Sat Mar 29, 2008 8:34 pm Post subject: |
|
|
| oldenX wrote: |
Zum einen ein hochgabter Infomatik Doktorand der
sein Studium als Jahrgangsbester abgeschlossen hat
(angenehm oldenX) und auf der anderen Seite du...
|
Glaub ich nicht...
Deine Get-Post Vermutung wird aber nicht hinhauen. Bin aber noch am gucken, werde es später wohl erklären.
Ich bin mal gespannt, wie du die PlayerID zur null machen willst.
Und die meinen, dass die Karten immer geriggt sind, also extra so von FullTilt ausgeteilt werden, sollen hat aufhören.
Die Karten werden wirklich zufallsmäßig gespielt. Hier wird ein Pseudo-Zufallszahlen-Generator verwendet (ISAAC) und ist kryptografisch sicher. Desweiteren kommt der Knuth-Algorithmus zum Einsatz, der keine verzerrten Ergebnisse verursacht.
Hier ist der Quellcode des ISAAC:
| Quote: |
C code for ISAAC
/*
* & is bitwise AND, ^ is bitwise XOR, a<<b shifts a by b
* ind(mm,x) is bits 2..9 of x, or (floor(x/4) mod 256)*4
* in rngstep barrel(a) was replaced with a^(a<<13) or such
*/
typedef unsigned int u4; /* unsigned four bytes, 32 bits */
typedef unsigned char u1; /* unsigned one byte, 8 bits */
#define ind(mm,x) (*(u4 *)((u1 *)(mm) + ((x) & (255<<2))))
#define rngstep(mix,a,b,mm,m,m2,r,x)
{
x = *m;
a = (a^(mix)) + *(m2++);
*(m++) = y = ind(mm,x) + a + b;
*(r++) = b = ind(mm,y>>8) + x;
}
static void isaac(mm,rr,aa,bb,cc)
u4 *mm; /* Memory: array of SIZE ALPHA-bit terms */
u4 *rr; /* Results: the sequence, same size as m */
u4 *aa; /* Accumulator: a single value */
u4 *bb; /* the previous result */
u4 *cc; /* Counter: one ALPHA-bit value */
{
register u4 a,b,x,y,*m,*m2,*r,*mend;
m=mm; r=rr;
a = *aa; b = *bb + (++*cc);
for (m = mm, mend = m2 = m+128; m<mend; )
{
rngstep( a<<13, a, b, mm, m, m2, r, x);
rngstep( a>>6 , a, b, mm, m, m2, r, x);
rngstep( a<<2 , a, b, mm, m, m2, r, x);
rngstep( a>>16, a, b, mm, m, m2, r, x);
}
for (m2 = mm; m2<mend; )
{
rngstep( a<<13, a, b, mm, m, m2, r, x);
rngstep( a>>6 , a, b, mm, m, m2, r, x);
rngstep( a<<2 , a, b, mm, m, m2, r, x);
rngstep( a>>16, a, b, mm, m, m2, r, x);
}
*bb = b; *aa = a;
} |
|
|
| Back to top |
|
|
DEPREM
Full House
Joined: 27 Oct 2007
Posts: 185
Location: GÖPPINGEN
|
| Posted: Sun Mar 30, 2008 6:26 pm Post subject: |
|
|
Ich habe keine ahnung von was ihr da redet @ oldenX und Zappelruebe. 
Ist das Ding jetzt sicher oder nicht??? 
Leider kenne ich mich nicht so mit Computern, Servern und Datenübertragungen aus.... Ihr GENIES |
|
| Back to top |
|
|
Zappelruebe
King of ROFL
Joined: 13 Sep 2007
Posts: 1795
|
| Posted: Sun Mar 30, 2008 7:48 pm Post subject: |
|
|
| DEPREM wrote: |
Ich habe keine ahnung von was ihr da redet @ oldenX und Zappelruebe.
Ist das Ding jetzt sicher oder nicht???
Leider kenne ich mich nicht so mit Computern, Servern und Datenübertragungen aus.... Ihr GENIES |
Ja, die Karten erhälst du sicher und nicht manipuliert.
Was vielleicht nicht sicher ist, ist immer der Account selber, da Passwörter geknackt werden (was ich dumm finde, wie hier schon oft erwähnt, dass man denselben Benutzernamen und das Passwort für das Forum verwendet) können.
Da es aber anscheinend irgendwelche IP-Abgleiche gibt, könnte auch jemand auch dein passwort erraten, kommt aber trotzdem nicht rein, da dein Account sofort gesperrt wird. |
|
| Back to top |
|
|
DEPREM
Full House
Joined: 27 Oct 2007
Posts: 185
Location: GÖPPINGEN
|
| Posted: Mon Mar 31, 2008 9:42 am Post subject: |
|
|
also gut, ich frag mal so... 
1) Kann jemand, ohne sich in MEINEN PC einzuhacken meine Karten sehen?
2) Könnte man den server von Full Tilt so manipulieren, das die Karten kommen, die man braucht, oder das jemand im voraus weiss, welche karten kommen werden? |
|
| Back to top |
|
|
oldenX
High Card
Joined: 18 Mar 2008
Posts: 20
|
| Posted: Mon Mar 31, 2008 1:57 pm Post subject: |
|
|
Hallo zusammen
@lollollol3000
Was willst du denn wissen? Wie man die Software manipulieren kann?
Das kann ich dir nicht sagen, weil ich die Software nicht im Detail
kenne. Ich wollte eigentlich nur ALLEN klar machen das Client-Server
Anwendungen grundsätzlich gefährdet sind. Ein Client MUSS
grundsätzlich als Böse angesehen werden.
@Zappelruebe
Meine Szenarios waren nur Beispiele, also reine Fiktion.
Also auch das mit POST und GET. Damit wollte ich nur klarstellen
wie schnell es gehen kann, wenn man z.B. GET verwenden würde.
Bzw. Was möglich wäre.
Nochmal!
Ich sage nicht das die Software von FT total unsicher ist!!!
Ich sage nur man sollte nicht 100% auf Programmierer vertrauen.
Sind alles Menschen und Menschen machen Fehler. Und eins könnt
ihr mir glauben Programmierer machen eine Menge Fehler.
| Quote: |
Da es aber anscheinend irgendwelche IP-Abgleiche gibt, könnte auch jemand auch dein passwort erraten, kommt aber trotzdem nicht rein, da dein Account sofort gesperrt wird.
|
Das kann aber nur für sehr unterschiedliche IP Bereiche gelten.
Wenn ich nachts Spiele und mein Provider die übliche 24h
Zwangstrennung durchführt kann ich nach dem Zuweisen meiner
neuen IP mich danach problemlos wieder einloggen. Also wenn mein
Nachbar den gleichen Provider hat wie ich, ist es auch sehr
wahrscheinlich das er eine ähnliche IP hat wie ich und meinen
Account, nachdem ich im Bett bin, trotzdem versuchen kann
zu übernehmen ohne das mein Account gesperrt wird.
| Quote: |
Glaub ich nicht...
|
Stimmt ich war zwar Bester, aber ich habe mir den Titel mit noch
jemand geteilt, das habe ich unterschlagen....geb ich ja zu!
@DEPREM
| Quote: |
1) Kann jemand, ohne sich in MEINEN PC einzuhacken meine
Karten sehen?
|
Klar kann man das. Aber das hat nun wirklich nichts mit FT zu tun.
Wenn ich mich hinter dich stelle kann ich deine Karten sicher sehen...
| Quote: |
2) Könnte man den server von Full Tilt so manipulieren, das die Karten kommen, die man braucht, oder das jemand im voraus weiss, welche karten kommen werden?
|
Das ist noch schwieriger als Fall 1 und eigentlich nicht denkbar.
MfG
oldenX |
|
| Back to top |
|
|
Zappelruebe
King of ROFL
Joined: 13 Sep 2007
Posts: 1795
|
| Posted: Mon Mar 31, 2008 5:27 pm Post subject: |
|
|
@OldenX: Tja, mit deinem post relativierst du deine vorherigen posts, was auch besser ist. Denn ja natürlich ist es möglich, dass Software manipuliert werden kann. Ich das ist auch ne gesunde Einstellung, dass etwas Skepsis aufgebracht wird.
Nun mal von der Logik her gesehen ist die Manipulation an den FT Servern "nahe" unmöglich. Denn wenn du andere Karten haben möchtest, müsstest du schon den "Zufallscode" ändern, der dann für alle anderen auch gelten würd. Diese Variante kann man also nahezu ausschließen.
Dass die karten von anderen eingesehen werden können, ist möglich. Es gibt das Beispiel eines manipulierten Tools (der die Wahrscheinlichkeiten etc. anzeigt). Dieses Tool müssen natürlich Hacker und Opfer installiert haben.
Via Screenshot erhält der Hacker dann die Karten des Opfers.
Andere Varianten sind mir nicht bekannt...
Also, ich finde die Skepsis gut. Trotzdem glaube ich (gilt für mich persönlich), dass die Software von FullTilt ok ist.
Ich kann nur einfach die Leute nicht verstehen, die sich immer darüber aufregen. Denn vom Sachverstand her macht es keinen Sinn.
Wenn jemand seine Vermutungen auch irgendwie beweisen kann, dann würde ich mir auch weitere Gedanken machen |
|
| Back to top |
|
|
lollollol3000
Four of a Kind
Joined: 09 Dec 2007
Posts: 339
Location: Bremen
|
| Posted: Tue Apr 01, 2008 12:09 pm Post subject: |
|
|
@ oldenX
| Quote: |
@lollollol3000
Was willst du denn wissen? Wie man die Software manipulieren kann?
Das kann ich dir nicht sagen, weil ich die Software nicht im Detail
kenne. Ich wollte eigentlich nur ALLEN klar machen das Client-Server
Anwendungen grundsätzlich gefährdet sind. Ein Client MUSS
grundsätzlich als Böse angesehen werden. |
Also:
mich würde intressieren was es z.B. mit Serverpush Technologien
bzw. Server ala Comet auf sich hat...
und was ist das??
C code for ISAAC ( ein programm?)
/*
* & is bitwise AND, ^ is bitwise XOR, a<<b shifts a by b
* ind(mm,x) is bits 2..9 of x, or (floor(x/4) mod 256)*4
* in rngstep barrel(a) was replaced with a^(a<<13) or such
*/
typedef unsigned int u4; /* unsigned four bytes, 32 bits */
typedef unsigned char u1; /* unsigned one byte, 8 bits */
#define ind(mm,x) (*(u4 *)((u1 *)(mm) + ((x) & (255<<2))))
#define rngstep(mix,a,b,mm,m,m2,r,x)
{
x = *m;
a = (a^(mix)) + *(m2++);
*(m++) = y = ind(mm,x) + a + b;
*(r++) = b = ind(mm,y>>8) + x;
}
static void isaac(mm,rr,aa,bb,cc)
u4 *mm; /* Memory: array of SIZE ALPHA-bit terms */
u4 *rr; /* Results: the sequence, same size as m */
u4 *aa; /* Accumulator: a single value */
u4 *bb; /* the previous result */
u4 *cc; /* Counter: one ALPHA-bit value */
{
register u4 a,b,x,y,*m,*m2,*r,*mend;
m=mm; r=rr;
a = *aa; b = *bb + (++*cc);
for (m = mm, mend = m2 = m+128; m<mend; )
{
rngstep( a<<13, a, b, mm, m, m2, r, x);
rngstep( a>>6 , a, b, mm, m, m2, r, x);
rngstep( a<<2 , a, b, mm, m, m2, r, x);
rngstep( a>>16, a, b, mm, m, m2, r, x);
}
for (m2 = mm; m2<mend; )
{
rngstep( a<<13, a, b, mm, m, m2, r, x);
rngstep( a>>6 , a, b, mm, m, m2, r, x);
rngstep( a<<2 , a, b, mm, m, m2, r, x);
rngstep( a>>16, a, b, mm, m, m2, r, x);
}
*bb = b; *aa = a;
}
und was ist eine GET ? |
|
| Back to top |
|
|
Zappelruebe
King of ROFL
Joined: 13 Sep 2007
Posts: 1795
|
| Posted: Tue Apr 01, 2008 1:45 pm Post subject: |
|
|
Was Serverpush ist, weiß ich auch nicht...
Für ISAAC (das ist der Name), was ein Zufallsalgorithmus hat, habe ich den Code online gestellt. Diesen oder ähnlichen verwendet FullTilt für die Karten.
Der Rest ist halt Codesprache. musse Java oder C kennen.
Mit GET kannst du eine Variable erhalten, um es kurz zu sagen. Mit POST gibts du deine Variable weiter. |
|
| Back to top |
|
|
oldenX
High Card
Joined: 18 Mar 2008
Posts: 20
|
| Posted: Wed Apr 02, 2008 4:10 pm Post subject: |
|
|
Hallo
@zappelrübe
| Quote: |
@OldenX: Tja, mit deinem post relativierst du deine vorherigen posts, was auch besser ist.
|
Nicht ganz, denn auch wenn es vielleicht falsch rüber gekommen sein
mag, habe ich immer nur sagen wollen das es SEIN KANN, nicht das es
so ist und das man NIE behaupten sollte eine Software sei unfehlbar.
Denkbar wäre die Manipulation des Clients...in wie weit man daraus
Nutzen schlagen kann hängt ganz davon ab was der Client genau tut.
und wie sicher vor allem die Gegenstelle, der Server programmiert ist.
Viele stellen sich unter Client immer den eigenen Rechner und unter
Server den physichen Server(Cluster) vor. Ich rede hier von der
Anwendung.
@lollollol3000
Was serverpush ist steht hier:
http://en.wikipedia.org/wiki/Comet_(programming)
Kurz: Es ist eine Technologie die es ermöglicht Daten vom
Server zum Client zu senden OHNE das dieser diese angefordert hat.
Bisher wird ja erst nach der Anfrage durch den Client Daten vom
Server an den Client gesendet.
GET und POST:
http://de.wikipedia.org/wiki/Hypertext_Transfer_Protocol#Argument.C3.BCbertragung
Sind beides Möglichkeiten um Daten zu senden.
Warum man jedoch die Finger von GET lassen sollte steht im
BSI- Handbuch für "Sicherheit von Webanwendungen" ganz
treffend beschrieben. (Stichwort Session Riding)
Abschnitt: 2.16 M230POST erzwingen
http://www.bsi.de/literat/studien/websec/WebSec.pdf
Diese Studie ist wirklich empfehlenswert und sollte zum 1x1
jedes Webanwendungprogrammierers (komisches Wort) gehören.
(Btw. Webanwendungen != Webseiten)
MfG
oldenX |
|
| Back to top |
|
|
lollollol3000
Four of a Kind
Joined: 09 Dec 2007
Posts: 339
Location: Bremen
|
| Posted: Thu Apr 03, 2008 12:00 pm Post subject: |
|
|
@ Zappelruebe & @ oldenX
danke |
|
| Back to top |
|
|
djedos
High Card
Joined: 10 Feb 2008
Posts: 11
Location: Darmstadt
|
| Posted: Thu Apr 03, 2008 12:41 pm Post subject: |
|
|
ohaa
was hab ich da nur losgerissen
wollte eigentlich nur sagen ,das es möglich ist unerkannt rein zu kommen ohne das es ft merkt, aber das spiel selbst kann man nicht manipulieren.
ich weis auch nicht wie das geht.rmir persönlich liegt sehr viel am ehrlichen spiel.
ach so ,ich finde es zum erbrechen das die moderatoren immer so blöd angemacht werden,wegen pille palle ich habe nur gutes zu berichten
und bin froh das sie da sind,und einen helfen 
diese leute stecken viel zeit und schweiss da rein.Danke an euch macht weiter so |
|
| Back to top |
|
|
|
Powered by phpBB © 2001, 2005 phpBB Group
|
|
FAQ
Search
Register
Profile
Log in to check your private messages
Log in
