+- JeuWeb - Crée ton jeu par navigateur (https://jeuweb.org)
+-- Forum : Discussions, Aide, Ressources... (https://jeuweb.org/forumdisplay.php?fid=38)
+--- Forum : Communauté, communication, marketing (https://jeuweb.org/forumdisplay.php?fid=49)
+--- Sujet : Que pensez vous de la découverte de faille ? (/showthread.php?tid=1620)
RE: Que pensez vous de la découverte de faille ? - MaGIKeR - 23-08-2007
On va mettre les choses au point :
Nessper : Personne n'a bousillé le classement, l'adresse du site je l'ai donné hier, il y a 48h de protection donc pas d'attaque donc impossible d'etre Top50.
FidelCastor : Je suis daccord sur tout ce que tu as dit (ou presque). C'est deguellasse...
Concernant la divulgation de la faille sur le forum off, je n'ai pas vu le message mais une personne (TestBoy je crois) à floodé le forum et divulgé la faille, ce n'était pas la bonne solution, quand il aurait vu les points élevé des membre de ce forum, il aurait été obligé de regler cette faille ou fermer le site. Le joueur qui a flooder/spammer est obligatoirement de se site.
Concernant les surchage du server, le jeu était sur le meme server que Magic-Ville, l'un des grand site parlant de Magic, donc il se peut qu'il y ait des surcharge mais j'en ai pas vu temps que sa qu'en je jouer. Mais sa exister.
Edit : Pour Toad , désolé se n'était pas mon but.
Conclusion : Il aurait mieu fallu que je ne dise rien et que je triche !!!
RE: Que pensez vous de la découverte de faille ? - Toad - 23-08-2007
Citation :Conclusion : Il aurait mieu fallu que je ne dise rien et que je triche !!!Non, il aurait mieux falu que tu te contentes de nos premiers échanges de messages au lieu de t'entêter pour au final être le seul et unique responsable de la fermeture de MV-Wars. J'espère que tu es fier de toi sur ce coup.
RE: Que pensez vous de la découverte de faille ? - denisc - 23-08-2007
Toad a écrit :Citation :Conclusion : Il aurait mieu fallu que je ne dise rien et que je triche !!!Non, il aurait mieux falu que tu te contentes de nos premiers échanges de messages au lieu de t'entêter pour au final être le seul et unique responsable de la fermeture de MV-Wars. J'espère que tu es fier de toi sur ce coup.
Je partage la responsabilité, puisque j'ai exploité le bug au maximum afin de le dévoiler!
Voici un post déposé sur ton forum... Je pense qu'il t'intéressera!!!
Citation :Citation :Citation :
Corriger cette faille demande la génération de 3 requêtes supplémentaires à chaque fois que quelqu'un veut construire ou entrainer quelque chose. C'est totalement non envisageable.
Mais plutot que passer par des requête, utilise les sessions!
* Lire un $_POST['xxx'] prendra le même temps que de lire un $_SESSION['xxx']!
* Ecrire un $_SESSION['xxx'] va plus vite que de générer ton '<INPUT....>'
En plus, tu gagneras sur ta bande passante, puisque les champs Hidden ne devront plus être envoyés systématiquement chez le client...
RE: Que pensez vous de la découverte de faille ? - philodoxia - 23-08-2007
Bonsoir,
pour bosser dans une université, quand je vois ce que sont capables de faire certains étudiants de 18 ans, je me dis que des script kiddies, à 16 ans, il doit y en avoir.
Pour le reste, je ne suis pas développeur, je vous laisserais donc à vos querelles, je pense cependant qu'il est inutile que chacun rabaisse l'autre ou fasse étalage de ses compétences, celà n'apporte rien à un débat qui me semblait au départ légitime, à savoir "est-ce que vous vous réagissez en cas de déclaration de faille ?".
Dommage pour la fermeture du site, perdre un jeu est toujours regrettable selon moi pour l'Internet, surtout avec tout ce que vous avez les moyens d'offrir aux communautés de joueurs.
Bien à vous.
RE: Que pensez vous de la découverte de faille ? - Globe - 23-08-2007
Et pour finir sur tu bosses pour airbus dans le domaine de l'informatique, je pense que tu peux te permettre de claquer 20€ par an en hébergement, j'ai déjà offert des hebergements et je suis pas majeur. Ok on à fait de la merde, mais ne va pas dire qu'on à tué le jeu, comme tu l'a dis tu savais depuis le début que tu squattais un serveur qui était déjà plutot blindé. De plus tu as dis sur ton forum, que ce forum était en cause, toutes les actions entreprises ont été réalisés par des membres individuels qui échappent au contrôle de jeuweb.org.
RE: Que pensez vous de la découverte de faille ? - naholyr - 23-08-2007
Au travers de tes messages tu confirmes l'impression de départ : les «je fais du PHP depuis tellement longtemps que je n'ai pas de leçon à recevoir» ou les «je bosse sur l'A-380 donc je suis au top niveau sécurité» ne montrent qu'une tendance à ne pas vouloir s'améliorer.
Je suis désolé d'être aussi franc et blessant, ce n'est vraiment pas mon genre, mais je trouve toutes les réactions que j'ai pu observer de ta part ces dernières heures assez peu dignes. Pour plus de pragmatisme, revenons sur cette faille :
- Elle était extrèmement visible, et je suis absolument persuadé que les joueurs l'avaient déjà régulièrement exploité, simplement un peu plus discrètement.
- Elle était extrèmement simple à corriger.
- La corriger n'aurait absolument pas augmenté la charge du serveur, à moins que tes requêtes ne soient extrèmement couteuses.
- Et si la corriger était si couteux, alors c'est que les performances générales du jeu étaient vraiment à revoir avec des optimisations simples.
Et je ne commenterais pas cette décision de fermer le jeu précipitamment. Je pense que tu n'agis pas de la même façon dans ton boulot, sinon tu n'aurais pas fait long feu dans la branche. Donc j'imagine que tu ne trouveras pas abhérrant qu'on puisse attendre le même type de réaction.
En conclusion, je dirais juste que c'est incroyable comme tout aurait été tellement différent si tu avais simplement répondu «OK, je n'ai pas le temps de m'en occuper actuellement, tu proposes quoi comme solution efficace ? STP ne l'ébruite pas en attendant...»
Edit : Attention à la méthode par session, je ne vois pas de grosse faille à première vue, mais ça mérite d'être étudié soigneusement avant d'être appliqué. Il faut avoir une vision précise du workflow.
RE: Que pensez vous de la découverte de faille ? - denisc - 23-08-2007
Citation :extrèmementLOL
RE: Que pensez vous de la découverte de faille ? - naholyr - 23-08-2007
Si c'est pour la répétition, ben oui, «extrèmement» comme plus que «très», parce que c'était le cas ici. Tout cela part d'une erreur extrèmement grossière.
Si c'est pour une autre raison, peut-être que tu ne soulèves ma faute d'accent, je la fais tout le temps je ne sais jamais si c'est un accent grave ou un accent circonflexe.
Et si c'est encore autre chose, c'est pour être plus précis et compréhensible qu'on a inventé les posts de plus de 3 lettres
RE: Que pensez vous de la découverte de faille ? - Toad - 23-08-2007
Citation :En conclusion, je dirais juste que c'est incroyable comme tout aurait été tellement différent si tu avais simplement répondu «OK, je n'ai pas le temps de m'en occuper actuellement, tu proposes quoi comme solution efficace ? STP ne l'ébruite pas en attendant...»Comme indiqué dans mon premier post, j'utilisais une méthode propre avant d'utiliser ce workaround. Mais tu as dû lire en diagonale.
Recalculer les valeurs à chaque page comme tu l'indiques est non pratique, ça génère 4 requêtes supplémentaires à chaque fois qu'un joueur fait une action et c'est hors de question.
Citation :Edit : Attention à la méthode par session, je ne vois pas de grosse faille à première vue, mais ça mérite d'être étudié soigneusement avant d'être appliqué. Il faut avoir une vision précise du workflow.C'est tout aussi modifiable qu'un Hidden.
J'ai toujours du mal à comprendre votre acharnement sur un jeu dont je n'ai fait la publicité nulle part, qui s'adresse à des gamins de 15 ans, et auquel nul d'entre vous ne jouait avant hier. Si un jour tu oublies de fermer une fenêtre dans ta maison, je suis certain que tu serais ravi que ton voisin aille le dire à toutes les personnes qu'elle croise dans la rue.
RE: Que pensez vous de la découverte de faille ? - uriak - 23-08-2007
@ Toad : je trouve cela dommage d'autant que tout cette affaire est née d'une grande incompréhension entre les parties. Les développeurs ici présents doivent considérer tout projet comme la marche vers un autre projet plus abouti, alors que quelqu'un ayant déjà accompli tout ce travail peut légitiment souhaiter en profiter, sans avoir à se consacrer à des tâches moins exaltantes. Je ne sais pas ce que tout cela représentait comme travail, mais quoiqu'il en soit, j'espère que vous reviendrez sur votre décision et appliquerez une correction simple si c'est possible. Dans le cas contraire, ce sera peut être l'occasion de franchir un pas et de trouver un hébergement plus puissant et porter le jeu à un autre niveau avec les ressources libérées. Même si je comprends que la colère ne doit pas vous encourager à rebondir.