Pratsch  - 31
Champion
(offline)
Dabei seit 07.2009
2821
Beiträge
|
Geschrieben am: 30.05.2011 um 17:16 Uhr
Zuletzt editiert am: 30.05.2011 um 17:18 Uhr
|
|
Zitat: Sämtliche Funktionen, die es dem Nutzer ermöglichen, eigene Beiträge zu verfassen, dürfen nicht ohne schriftliche Genehmigung des Herausgebers für Werbezwecke missbraucht werden. Der Herausgeber behält sich vor, Beiträge, die werblichen Charakter haben, zu entfernen und dem Verfasser eines solchen Beitrags eine Rechnung für Schaltung von Werbung auf Team-Ulm.de gemäß der jeweils gültigen Preisliste zu stellen.
API *___*
Trotz API kann man ohne weiteres die Daten abgreifen?!?! 
Also weiterhin: Datenverkehr prüfen, am besten den Code offen legen und dem User muss man halt vertrauen. (Von dem das Programm kommt)
awa
|
|
septicus 
Team-Ulmler
(offline)
Dabei seit 08.2002
4436
Beiträge
|
|
Geschrieben am: 30.05.2011 um 17:30 Uhr
|
|
Zitat von Pratsch:
API *___*
Trotz API kann man ohne weiteres die Daten abgreifen?!?!
Also weiterhin: Datenverkehr prüfen, am besten den Code offen legen und dem User muss man halt vertrauen. (Von dem das Programm kommt)
In die API sind einige Sicherungsmaßnahmen eingebaut und die Authentifizierung wird so geregelt sein, dass das jeweilige Programm mit den Account-Daten nicht in Berührung kommen wird. Realisiert wird das über oAuth, damit arbeiten auch andere große Portale.
Klar lässt sich so ein Loginscreen immer faken - aber das würde jetzt auch schon gehen und ist dann nichts anderes als Phishing und damit illegal.
|
|
Pratsch - 31
Champion
(offline)
Dabei seit 07.2009
2821
Beiträge
|
Geschrieben am: 30.05.2011 um 17:31 Uhr
Zuletzt editiert am: 30.05.2011 um 17:32 Uhr
|
|
Zitat von septicus: Zitat von Pratsch:
API *___*
Trotz API kann man ohne weiteres die Daten abgreifen?!?!
Also weiterhin: Datenverkehr prüfen, am besten den Code offen legen und dem User muss man halt vertrauen. (Von dem das Programm kommt)
In die API sind einige Sicherungsmaßnahmen eingebaut und die Authentifizierung wird so geregelt sein, dass das jeweilige Programm mit den Account-Daten nicht in Berührung kommen wird. Realisiert wird das über oAuth, damit arbeiten auch andere große Portale.
Klar lässt sich so ein Loginscreen immer faken - aber das würde jetzt auch schon gehen und ist dann nichts anderes als Phishing und damit illegal.
Des meinte ich ja. : )
Klar, wenn die Acc. Daten nur an den Server gehn ist des ja okay, aber man kanns auch Umleiten man muss ja nur die TxtBox auslesen.
Aber egal, mal schauen wie gut die Doku wird.
Hoffentlich so hervorragen wie die von YouTube. (ironie)
awa
|
|
septicus
Team-Ulmler
(offline)
Dabei seit 08.2002
4436
Beiträge
|
|
Geschrieben am: 30.05.2011 um 17:33 Uhr
|
|
Zitat von Pratsch:
Des meinte ich ja. : )
Klar, wenn die Acc. Daten nur an den Server gehn ist des ja okay, aber man kanns auch Umleiten man muss ja nur die TxtBox auslesen.
Die Programme werden keinen Zugriff auf diese Eingabefelder haben. Das ist schon safe - weil genau dafür gemacht und auch nicht neu, sondern schon seit ein paar Jahren im Einsatz und weit verbreitet.
|
|
Pratsch - 31
Champion
(offline)
Dabei seit 07.2009
2821
Beiträge
|
Geschrieben am: 30.05.2011 um 17:38 Uhr
Zuletzt editiert am: 30.05.2011 um 17:38 Uhr
|
|
Der User muss doch seine Daten in einer TextBox eingeben die von mir erstellt wurde im Designer?
Damit hab ich vollen Zugriff, sobald er seine Daten eingibt, hab ich die. o.O
Außer mein Programm ist sauber und die Daten gehen nur an TU.
Versteh ich was falsch?
awa
|
|
cookiie_x3
Experte
(offline)
Dabei seit 02.2010
1216
Beiträge
|
|
Geschrieben am: 30.05.2011 um 18:19 Uhr
|
|
das programm kann auf eigene "gefahr" genutzt werden. da es keine rechtswidrigen
funktionen beinhaltet. ich gehe mal davon aus das die häufigkeit eines pagerefreshs was tausende user teilweiße permanent machen wesentlich mehr zu überlastungen führen kann. für was der zweck von bk ist, ist ja schon lange geklärt hoffe ich, wer das programm mißbraucht macht das auf eigene gefahr.
ιƒ ℓσνє ιѕ ησт α gαмє, тнєη ωну тнєяє αяє ѕσ мαηу ρℓαуєяѕ.Team-Ulm Messenger★͜tu.mevedia.de☆
|
|
download - 33
Halbprofi
(offline)
Dabei seit 07.2006
181
Beiträge
|
|
Geschrieben am: 30.05.2011 um 18:30 Uhr
|
|
Zitat von Pratsch:
Versteh ich was falsch?
Ja. http://de.wikipedia.org/wiki/OAuth
http://ouned.de
|
|
SiXeRt
Champion
(offline)
Dabei seit 10.2007
2834
Beiträge
|
|
Geschrieben am: 30.05.2011 um 18:33 Uhr
|
|
Zitat von cookiie_x3: das programm kann auf eigene "gefahr" genutzt werden. da es keine rechtswidrigen
funktionen beinhaltet. ich gehe mal davon aus das die häufigkeit eines pagerefreshs was tausende user teilweiße permanent machen wesentlich mehr zu überlastungen führen kann. für was der zweck von bk ist, ist ja schon lange geklärt hoffe ich, wer das programm mißbraucht macht das auf eigene gefahr.
nein wer es nützt wird leider gelöscht ;(
ҳҳ TU STAR ҳҳ |
|
|
Klischeepunk - 40
Champion
(offline)
Dabei seit 01.2005
8907
Beiträge
|
Geschrieben am: 30.05.2011 um 18:36 Uhr
Zuletzt editiert am: 30.05.2011 um 18:38 Uhr
|
|
Zitat von cookiie_x3: das programm kann auf eigene "gefahr" genutzt werden. da es keine rechtswidrigen
funktionen beinhaltet. ich gehe mal davon aus das die häufigkeit eines pagerefreshs was tausende user teilweiße permanent machen wesentlich mehr zu überlastungen führen kann. für was der zweck von bk ist, ist ja schon lange geklärt hoffe ich, wer das programm mißbraucht macht das auf eigene gefahr.
Du bist doch der Knaller: "Nein septicus, ich weiss besser, was man bei TU darf als du"... ich frag mich ob du eigentlich öfter mal kopfschmerzen hast oder ob du das gar nicht mehr wahrnimmst.
Finde ich übrigens Interessant:
Zitat: habs mir mal angeschaut. Verstehe nicht wieso er den Username auf seinen Server überträgt. Das ist mir ein wenig zu suspekt.
Am besten noch über ne ungesicherte HTTP? Damit tust du schonmal genau das was befürchtet wurde: Du greifst einen Teil der Nutzerdaten ab.
Dieser Post wurde 2 mal ROT-13 verschlüsselt.
|
|
cookiie_x3
Experte
(offline)
Dabei seit 02.2010
1216
Beiträge
|
|
Geschrieben am: 30.05.2011 um 18:38 Uhr
|
|
Zitat von SiXeRt: Zitat von cookiie_x3: das programm kann auf eigene "gefahr" genutzt werden. da es keine rechtswidrigen
funktionen beinhaltet. ich gehe mal davon aus das die häufigkeit eines pagerefreshs was tausende user teilweiße permanent machen wesentlich mehr zu überlastungen führen kann. für was der zweck von bk ist, ist ja schon lange geklärt hoffe ich, wer das programm mißbraucht macht das auf eigene gefahr.
nein wer es nützt wird leider gelöscht ;(
das kann wenn dann nur bei > sehr < vielen massennachrichten nachgewießen werden.
das das programm genutzt wird kann nicht nachgewießen werden.
ιƒ ℓσνє ιѕ ησт α gαмє, тнєη ωну тнєяє αяє ѕσ мαηу ρℓαуєяѕ.Team-Ulm Messenger★͜tu.mevedia.de☆
|
|
cookiie_x3
Experte
(offline)
Dabei seit 02.2010
1216
Beiträge
|
|
Geschrieben am: 30.05.2011 um 18:42 Uhr
|
|
Zitat von Klischeepunk: Zitat von cookiie_x3: das programm kann auf eigene "gefahr" genutzt werden. da es keine rechtswidrigen
funktionen beinhaltet. ich gehe mal davon aus das die häufigkeit eines pagerefreshs was tausende user teilweiße permanent machen wesentlich mehr zu überlastungen führen kann. für was der zweck von bk ist, ist ja schon lange geklärt hoffe ich, wer das programm mißbraucht macht das auf eigene gefahr.
Du bist doch der Knaller: "Nein septicus, ich weiss besser, was man bei TU darf als du"... ich frag mich ob du eigentlich öfter mal kopfschmerzen hast oder ob du das gar nicht mehr wahrnimmst.
Finde ich übrigens Interessant:
Zitat: habs mir mal angeschaut. Verstehe nicht wieso er den Username auf seinen Server überträgt. Das ist mir ein wenig zu suspekt.
Am besten noch über ne ungesicherte HTTP? Damit tust du schonmal genau das was befürchtet wurde: Du greifst einen Teil der Nutzerdaten ab.
halte dich von diesem thread einfach raus, du hast schon genügend ärger am
hals. wer lesen kann ist klar im vorteil: der benutzername dient nur um festzustellen ob der user das programm mißbraucht und um diesen dafür zu sperren. (mit dem benutzernamen alleine kann ansonsten nichts angefangen werden)
ιƒ ℓσνє ιѕ ησт α gαмє, тнєη ωну тнєяє αяє ѕσ мαηу ρℓαуєяѕ.Team-Ulm Messenger★͜tu.mevedia.de☆
|
|
Klischeepunk - 40
Champion
(offline)
Dabei seit 01.2005
8907
Beiträge
|
Geschrieben am: 30.05.2011 um 18:44 Uhr
Zuletzt editiert am: 30.05.2011 um 18:45 Uhr
|
|
Zitat von cookiie_x3:
halte dich von diesem thread einfach raus, du hast schon genügend ärger am
hals. wer lesen kann ist klar im vorteil: der benutzername dient nur um festzustellen ob der user das programm mißbraucht und um diesen dafür zu sperren. (mit dem benutzernamen alleine kann ansonsten nichts angefangen werden)
Ich hab ärger am Hals? So wie ich die Nachrichten hier interpretiere bin nicht ich es... naja.
Nutzerbezogene Daten sammeln hat schon ganz anderen das Genick gebrochen und die hatten sowas wie AGBs und Datenschutzbestimmungen.
@septicus zu den relevanten Dingen: gibts eigentlich en Fortschritt in der API? Die letzte Spec die ich gesehn hab war noch eher dürftig?
Dieser Post wurde 2 mal ROT-13 verschlüsselt.
|
|
sweetBoy18_ - 32
Halbprofi
(offline)
Dabei seit 12.2010
185
Beiträge
|
|
Geschrieben am: 30.05.2011 um 18:47 Uhr
|
|
na dann hau ich das mal wieder schnell vom rechner runter^^
|
|
cookiie_x3
Experte
(offline)
Dabei seit 02.2010
1216
Beiträge
|
|
Geschrieben am: 30.05.2011 um 18:50 Uhr
|
|
sicher nicht 
was verstehst du den bitte wieder nicht? wofür der username dient
habe ich dir versucht zu erklären. wäre diese sicherung nicht könnte
man den mißbrauch nicht vermeiden.
ιƒ ℓσνє ιѕ ησт α gαмє, тнєη ωну тнєяє αяє ѕσ мαηу ρℓαуєяѕ.Team-Ulm Messenger★͜tu.mevedia.de☆
|
|
Klischeepunk - 40
Champion
(offline)
Dabei seit 01.2005
8907
Beiträge
|
Geschrieben am: 30.05.2011 um 18:55 Uhr
Zuletzt editiert am: 30.05.2011 um 18:57 Uhr
|
|
Zitat von cookiie_x3: sicher nicht
was verstehst du den bitte wieder nicht? wofür der username dient
habe ich dir versucht zu erklären. wäre diese sicherung nicht könnte
man den mißbrauch nicht vermeiden.
Ganz spontan fallen mir folgende möglichkeiten ein:
- Zu jeder Nachricht Userinteraktion notwendig
- Timeouts (dynamisch gestaltet in abhängigkeit von empfängern)
- verhindern doppelt/mehrfach die gleiche nachricht in folge zu senden
oder:
- Auf septicus hören.
Zu 2terem brauch ich zwar auch nutzernamen/PID aber lokal, wo ich sie eh nutze um dem Buddy Daten zukommen zu lassen, d.h. du bleibst außen vor.
Mir fällt sogar noch ein Weg ein gesetzt des Falles beide Nutzer nutzen dein dingsbums: Automatische Verarbeitung einer "ignore" meldung, die ein Nutzer dem anderen senden kann um zu verhindern, dass das Teil kontakt mit ihm aufnimmt.
Dieser Post wurde 2 mal ROT-13 verschlüsselt.
|
|
[