greenside.lt - pranešta žaidimo klaida = visko netekimas ir klaidos netaisymas?

[Dovias]

Nenoriu prikelt temos, bet šita klaida jau man buvo žinoma 2018m. sausį. Tačiau tuomet žinojau dar daug baisesnę klaidą kurią išnaudodamas per kelias valandas pasidariau 10 milijonų žaidimo valiutos per kažkur 2 valandas. Absurdiška. Taipogi šiame serveryje yra dar man žinomos 2 kritiškos klaidos, kurios vieną dieną gali visiškai sugadinti serverio ekonomika. Nesiruošiu aš jų pranešti ar išnaudoti, nes šio projekto savininkų požiuris į projektą — nebe toks koks buvo 2015 metais, kaip pirmą kartą prisijungiau į serverį.

 

Šie projekto savininkai baitina žmonės jungtis į projektą keldami „naujo atnaujinimo“ profilio nuotraukas į oficialią greenside.lt facebook grupę:

 

For fuck sake, projektas negavo atnaujinimo nuo 2018 m. balandžio mėnėsio jei neklystu. Net ryžynas, sarg, las-venturas daro dažniau atnaujinimus nei jūs. Kaip jums išvis negėda vilioti žmones į projektą, kuris meluoja apie savo modifikacijos funkcijas. Shame on you @S'Jobs. Gavot pinigus ir pasiplaunat pakviesdami į jūsų projektą komandą du aktyvius žmones nuo 2015 metų, kurie jumis pasitiki. GĖDA! Melagiai!

Redaguota Birželio 19, 2019, nario Dovisas

[S'Jobs]

Atsiprašau, jog vėluoju atsakyti į šią temą, bet dėl asmeniunių priežasčių esu nusišalinęs nuo projekto veiklos, todėl nebegaliu skirti tiek laisvo laiko, kiek jo skirdaviau seniau.

Visų pirma norėjau atsakyti į temos autoriaus pranešimą.

@Zero Two Pirmiausia norėjau padėkoti, jog esi pilietiškas sa-mp žaidėjas ir daliniesi savo nuomone tokiuose forumuose apie savo patirtį mūsų serveryje. Kaip kažkas ir minėjo, žaidėjo viena iš pareigų mūsų projekte yra pranešti apie projekto klaidą, o ne stengtis ją parduoti už atlygį. Jeigu esi sąžiningas žaidėjas (šiuo atveju tau tai negalioja) pranešęs apie didelę klaidą (kaip ir pats minėjai, jog tai yra didelė klaida) būtum sulaukęs premijos. Bet negavai ir į viską administratorius sureagavo ne taip profesionaliai kaip turėjo, todėl atsiprašau už jį, nors viena iš jo pareigų buvo atsakyti į šią temą @Matthew_Bennett ir paaiškinti situaciją neleidžiant kurti išgalvotų istorijų apie parduotus projektus. Premijos negavai, nes šio „saugiklio“ trūkumas yra žinomas nuo pat sistemos startavimo pradžios. Bet tai nereiškia, jog nesame apsidraudę nuo šios klaidos išnaudojimo. Registruojame šiuos veiksmus taip pat nuo sistemos startavimo pradžios (2015 metų) ir visi pažeidėjai (bent jau iki mano veiklos pabaigos) buvo baudžiami kaip už čytinimą.

@Dovisas atnaujinimas yra ruošiamas ir į savo oficialų facebook puslapį keliame būsimo atnaujinimo vaizdelius, kuriais bandome įrodyti, jog atnaujinimas progresuoja. Ačiū už tavo nuomonę ir gėdą gali pasilikti sau.

Ir dar kartą pasikartosiu. Projektas nėra parduotas, atiduotas ar kaip nors kitaip perleistas kitiems asmenims. Tiesiog nusišalinau nuo projekto veiklos dėl asmeninių priežasčių (motyvacijos trūkumas ir nauji tikslai realiame gyvenime), todėl buvo pasirinkti žmonės, kurie geriausiai kompensuos mano, kaip administratoriaus darbus projekte. Iki šiol esu vienas iš pagrindinių savininkų ir nuolat koruoju atitinkamus administracijos veiksmus, kurių paprasti žaidėjai plika akimi matyti negali.

p.s. didžioji dalis komentatorių net neįsivaizduoja kokias pareigas užima šie žmonės ir kokius darbus jie atlieka, todėl prašau nekomentuoti jų darbo, nes pastoviuose projektuose administratoriaus pareigos nėra vien tik prisijungimas į serverį ir atrankų vedimas kaip kad tai vyksta vienadieniuose projektuose.

Redaguota Birželio 24, 2019, nario S'Jobs

[Dovias]

12 minutes prieš, S'Jobs parašė:

Atsiprašau, jog vėluoju atsakyti į šią temą, bet dėl asmeniunių priežasčių esu nusišalinęs nuo projekto veiklos, todėl nebegaliu skirti tiek laisvo laiko, kiek jo skirdaviau seniau.

Visų pirma norėjau atsakyti į temos autoriaus pranešimą.

@Zero Two Pirmiausia norėjau padėkoti, jog esi pilietiškas sa-mp žaidėjas ir daliniesi savo nuomone tokiuose forumuose apie savo patirtį mūsų serveryje. Kaip kažkas ir minėjo, žaidėjo viena iš pareigų mūsų projekte yra pranešti apie projekto klaidą, o ne stengtis ją parduoti už atlygį. Jeigu esi sąžiningas žaidėjas (šiuo atveju tau tai negalioja) pranešęs apie didelę klaidą (kaip ir pats minėjai, jog tai yra didelė klaida) būtum sulaukęs premijos. Bet negavai ir į viską administratorius sureagavo ne taip profesionaliai kaip turėjo, todėl atsiprašau už jį, nors viena iš jo pareigų buvo atsakyti į šią temą @Matthew_Bennett ir paaiškinti situaciją neleidžiant kurti išgalvotų istorijų apie parduotus projektus. Premijos negavai, nes šio „saugiklio“ trūkumas yra žinomas nuo pat sistemos startavimo pradžios. Bet tai nereiškia, jog nesame apsidraudę nuo šios klaidos išnaudojimo. Registruojame šiuos veiksmus taip pat nuo sistemos startavimo pradžios (2015 metų) ir visi pažeidėjai (bent jau iki mano veiklos pabaigos) buvo baudžiami kaip už čytinimą.

@Dovisas atnaujinimas yra ruošiamas ir į savo oficialų facebook puslapį keliame būsimo atnaujinimo vaizdelius, kuriais bandome įrodyti, jog atnaujinimas progresuoja. Ačiū už tavo nuomonę ir gėdą gali pasilikti sau.

Ir dar kartą pasikartosiu. Projektas nėra parduotas, atiduotas ar kaip nors kitaip perleistas kitiems asmenims. Tiesiog nusišalinau nuo projekto veiklos dėl asmeninių priežasčių (motyvacijos trūkumas ir nauji tikslai realiame gyvenime), todėl buvo pasirinkti žmonės, kurie geriausiai kompensuos mano, kaip administratoriaus darbus projekte. Iki šiol esu vienas iš pagrindinių savininkų ir nuolat koruoju atitinkamus administracijos veiksmus, kurių paprasti žaidėjai plika akimi matyti negali.

p.s. didžioji dalis komentatorių net neįsivaizduoja kokias pareigas užima šie žmonės ir kokius darbus jie atlieka, todėl prašau nekomentuoti jų darbo, nes pastoviuose projektuose administratoriaus pareigos nėra vien tik prisijungimas į serverį ir atrankų vedimas kaip kad tai vyksta vienadieniuose projektuose.

 

Pala pala, tai tu nori pasakyti kad tu ruoši atnaujinimą nuo 2018 m. balandžio mėnėsio pradžios? Kas čia per atnaujinimas — gamemode'o perašymas? ?

 

Redaguota Birželio 24, 2019, nario Dovisas

[S'Jobs]

Dabar, Dovisas parašė:

Tai tu nori pasakyti kad tu ruoši atnaujinimą nuo 2018 m. balandžio mėnėsio pradžios? Kas čia per atnaujinimas — gamemode'o perašymas? ?

Iš dalies taip. Didžioji dalis sitemų bus pakeista arba stipriai atnaujinta. Vizualinė serverio pusė (interjerai, exterjerai) visiškai atnaujinta.

[Dovias]

Dabar, S'Jobs parašė:

Iš dalies taip. Didžioji dalis sitemų bus pakeista arba stipriai atnaujinta. Vizualinė serverio pusė (interjerai, exterjerai) visiškai atnaujinta.

Nu tebūnie, bet skamba viskas labai įtartinai. Dėkui už informaciją.

[S'Jobs]

18 minutes prieš, Dovisas parašė:

Nu tebūnie, bet skamba viskas labai įtartinai. Dėkui už informaciją.

Na bet kuris forumo lankytojas užėjęs į atnaujinimų skiltį gali pamatyti mūsų senesnių atnaujinimų masivumą. Nemanau kad gali kilti tokie įtarimai žmonėms, kurie bent minimaliai yra susipažinę su projekto administracijos darbu ties atnaujinimais.

[Expert*]

2019-04-11 00:05, AurelijusRS parašė:

Na lyginti, tokio lygio skriptą su exploitu, kurio pagalba prieitum prie duomenų bazės, tai kaip obuolius su apelsinais lygint. Prisigalvoti galima daug ką, bet reikia žiūrėti ir iš praktinės pusės į tai, ne tik teorinės. Kaip ir prieš tai minėjau, Lietuvos SA-MP serverių, praktika rodo, kad tokių atvejų beveik nebūna arba jie nėra kritiniai. Aš irgi asmeniškai užlopyčiau tokius dalykus ir pasikviesčiau tokį, kaip tu, į komanda ar suteikčiau testuotojo statusą, tačiau žiūrint iš dabartinių SA-MP serverių savininkų pusės, konkrečiai GreenSide, juos puikiai suprantu ir gan logiška, kad nėra bandoma imtis jokių veiksmų. Jeigu turi 100 žaidėjų ir iš jų 1 bando pakenkti, tikrai nepraleisi 40 valandų, kad užlopyti, kiekvieną galimą exploitą, kurį tas žmogus sukurs. Geriau tas 40val. skirsi atnaujinimams, kurie palies tuos 99 žaidėjus. Prioritetuose esmė, o ne teorijose. Apskritai, jeigu rimto kalibro žmonės, užsiimtų tokiais žaidimais, tai nebūtų Lietuvoje, nei vieno SA-MP serverio, kuris daugiau, nei mėnesį išgyventų.

'sql injection' seniau buvo gan nemaža problema, tais laikais kai GRP modus naujino iš dini į mysql. Manes asmeniškai klausė vienas projektas kodėl žaidėjai užsideda pinigus ir nusiima banus. Atrodo jog čia žaidžia paprasti žmonės, bet kažkaip vis atsiranda tas 'vienas iš milijono' žaidėjas kuris atranda kaip pasinaudoti serverio klaidomis.
Kažkas panašaus buvo ir dB ( bet ten per vvp  ) ir sarg'e esu girdėjas, kad žmogus ateidavo pačytinti gaudavo bana bet atsibanindavo.

[Debesėlis.]

47 minutes prieš, Expert* parašė:

'sql injection' seniau buvo gan nemaža problema, tais laikais kai GRP modus naujino iš dini į mysql. Manes asmeniškai klausė vienas projektas kodėl žaidėjai užsideda pinigus ir nusiima banus. Atrodo jog čia žaidžia paprasti žmonės, bet kažkaip vis atsiranda tas 'vienas iš milijono' žaidėjas kuris atranda kaip pasinaudoti serverio klaidomis.
Kažkas panašaus buvo ir dB ( bet ten per vvp  ) ir sarg'e esu girdėjas, kad žmogus ateidavo pačytinti gaudavo bana bet atsibanindavo.

Nuo pat pradžios buvo tos problemos, ypač 2009-2011m. kai php fusion framework'as buvo populiariaus sa-mp forumuose, kiekvieną dieną tie forumai lūždavo ar tai dėl vulnerabilities ar tai dėl leak'ų. O iš serverio pusės, kiek aš pamenu ir patyriau, tai dauguma problemų kildavo dėl mysql kaltės. Kai buvo išleista pati pirma sa-mp VVP Lietuvoje, projekto sąvininkai, susidūrė su niekuo kitu, bet duomenų saugojimo problemomis ir visada atsirasdavo žaidėjų, kurie exploitindavo jas, kas tais laikais nebuvo itin sunku.

[Expert*]

Prieš 1 valandą, AurelijusRS parašė:

Nuo pat pradžios buvo tos problemos, ypač 2009-2011m. kai php fusion framework'as buvo populiariaus sa-mp forumuose, kiekvieną dieną tie forumai lūždavo ar tai dėl vulnerabilities ar tai dėl leak'ų. O iš serverio pusės, kiek aš pamenu ir patyriau, tai dauguma problemų kildavo dėl mysql kaltės. Kai buvo išleista pati pirma sa-mp VVP Lietuvoje, projekto sąvininkai, susidūrė su niekuo kitu, bet duomenų saugojimo problemomis ir visada atsirasdavo žaidėjų, kurie exploitindavo jas, kas tais laikais nebuvo itin sunku.

Iš serverio pusės ne-escapino stringų ( mysql_real_escape_string R5 ), o gal ir daugiau problemų su tuo pačiu mysql pluginu buvo. (~R5 versijoj)

Redaguota Birželio 27, 2019, nario Expert*

[Debesėlis.]

prieš 4 valandas(-ų), Expert* parašė:

Iš serverio pusės ne-escapino stringų ( mysql_real_escape_string R5 ), o gal ir daugiau problemų su tuo pačiu mysql pluginu buvo. (~R5 versijoj)

Pamenu, kad server-side būdavo tokių klaidų, kurių ištaisyti nebuvo galima tuo metu, daugelis bandydavo apeiti per aplinkui, prikurdami antrinių skriptų. Ypač duomenų išsaugojimas ir užkrovimas, bei mysql rišimai visokie su VVP (gal ir buvo tas laikotarpis iš dini į mysql kaip ir minėjai). Bet čia seni laikai, prieš 8-10 metų kažkur. Sampe, tik ka buvo pradedamos kurti, nuosavo transporto sistemos, tai kiek vargo, tuometiniai skripteriai apturėjo, ne tas žodis. Vėlgi, ne mano kompetencija tai, todėl iki galo kas ir dėl ko buvo nežinau, todėl šiais laikais kaip ten sa-mp client'as gyvena, apskritai neįsivaizduoju. Mano galva, kas liečia pinigus, XP, kreditus, tai geriau sukurti sekimo sistemas su išsamiais logais, kad aptiktu tokias anomalijas ir rankiniu būdu spręsti. Nelabai apsimoka sedėti prie tokių, ganėtinai aukšto lygio problemų ir galvoti kaip užlopyti kiekvieną galimą exploitą.