Finns det något straff för det här?
 

Hej!
Jag har haft cirka 3 projekt på min sida, och alla gånger så har en spelare varit med och förstört. Nu är jag trött på honom, denna gång så har han helt utan att berätta hur/anmäla buggen lyckats få oändligt med poäng och det står att han har betygsatt cirka 60000 spel, när sidan inte ens har över 1500 spel i nuläget.

Han måste ha utnyttjat någon bugg/använt sig utav SQL injection, det är inte jag som har byggt systemet utan det är ett köpt script utav Av Scripts.

Jag undrar vad jag kan göra åt saken? Finns det något straff för det här? Eller får jag bara skylla mig själv och försöka hitta en lösning?

Att banna honom skulle verkligen inte fungera.

Dataintrång är ju inte direkt lagligt, men hur vida någon orkar lägga ner resurser hos våran kära polismyndighet är en annan fråga...

Det lite roliga, är att han vet att jag vet vem han är; Han är medlem på ett forum och samtidigt som han förstör på min sida, så skriver han flitigt där. Bland annat så vill han ha feedback på sin hemsida..

Jag har postat denna bugg i Av scripts customer-forum och kommer förhoppningsvis få en lösning på problemet, men han måste ju ha varit inne och kört otillåtna frågor i min databas på något sätt.

Jag har "förstört" spel på liknande vis genom att till exempel riva ett negativt antal byggnader, ta negativa lån som gav mig ränta från banken, läst andras PM på forum genom att bara ändra en siffra i adressfältet...

Är du säker på att det inte är något så simpelt? Har du ordentlig koll på indatat till ditt program?

Det här har förmodligen skett hundratusentals gånger vid det här laget. Det du givetvis bör göra är att ha säker kod från start. Såvida du inte lidit någon större ekonomisk skada av det inträffade så är nog möjligheten till rättsliga åtgärder extremt små och knappast något som det är värt att lägga energi på heller.

Tack för svaren!
Jag slapp extra arbete genom att använda mig utav en simpel sql fråga; Tack gode gud! 55666 rader blev raderade..

I alla fall. Jag fick faktiskt svar från honom, han skrev att han "-gjorde en bot som betygsätter alla spel med id från 1 till oändligt vilket ledde till ca. 50p per sekund."

Jag svarade att det bara är så onödigt, då svarade han "-Jag är nyfiken bara. Gillar att busa på internet.".

Jag svarade faktiskt nu att jag tycker att han ska ta och bli medlem här, och lära sig av andra, bli bättre och förverkliga sina drömmar. Han vill ju trots allt skapa sidor, göra javaspel etc. etc.

Släpa inte hit honom för guds skull!

Redan för sent. :O
Han heter WASD.

Men, beter han sig som på fuska.se så kommer han bli avstängd direkt.

Nu vill jag inte göra en pajkastning mot någon, men jag tycker att som man bäddar får man ligga.

Med andra ord är inte koden du har särskilt säker ;)
Har man poängsystem eller liknande inblandat på sin sida så måste man se till att göra dessa "bot-säkra". Tex så skall det ju inte vara möjligt att betygsätta spel som inte ens finns. Det är ju en grundläggande sak att sidan skall ge nån form av 404 om man anger ett ID som inte existerar, nu får man ju upp en som synes fullständig sida, fast utan spel om man går till http://crusadesage.se/index.php?task=view&id=999999999. Det enda som signalerar att spelet inte fanns är just sid-titeln

Man skall heller inte kunna betygsätta mer än tex 2 spel/minut eftersom det troligtvis är fysiskt omöjligt, eller iaf inte ett "normalt" beteende för en riktig besökare.

Jag håller med verkligen med! Jag får ta och göra något åt detta, så snabbt som möjligt. Det bästa vore ju om Av script tar på sig sitt ansvar och fixar problemet, annars så får jag väl fixa det själv, på något sätt ;)

Man ska inte döma ut människor bara för att de gjort dumheter i sin ungdom, det har de flesta gjort.

jag försökte regga mig för att se om det verkligen funkade att göra som jag trodde, dvs betygsätta icke-existerande spel. Men tyvärr så funkar inte registreringen. Man kommer inte vidare från steg 1 (troligen pga av js-felet:
$ "is not defined
Källkodsfil: http://crusadesage.se/index.php?task=register
Rad: 225"
dvs du har inte inkluderat jQuery

Hoppsan! Har gått tillbaka till gamla formuläret nu, vänligen försök igen. :)

min teori stämde
det gick lysande att både betygsätta och kommentera spel det här spelet http://crusadesage.se/index.php?task...99999999999999

Sidan som visar spelet är uppenbart exceptionellt korkat kodad eftersom sidtiteln sätts till "Crusadesage.se - NOT_FOUND". Tydligen tyckte någon att det skulle räcka för att meddela besökaren om att spelet inte fanns eftersom kommentar och betygs-delen fortfarande visas OCH fungerar

Inte bra alls! Jag har rapporterat felet till Av scripts.
EDIT: Man kan dock bara "fuska" en gång, alla spel som inte finns räknas tydligen som samma.

Men man får fortfarande poäng för dem...

Menar du flera gånger? Man får ju poäng när man har betygsatt, helt korrekt, men då det bara går att göra en gång så borde det inte vara så skadligt?

jo, eftersom man tydligen får poäng för varje spel man betygsätter
jag har just nu dessa nuffror
34 poäng, "Gånger spelat: 8 Antal betygsatta spel: 2 Antal kommentarer: 2 "
jag har spelat NOLL spel, men betygsatt spel 99999999999999 och 9999.
De icke existrerande spelen räknas kanske som samma spel, men man får poäng för dem när man röstar oavsett om man röstar på spel 9999 eller 99991 osv

DESSUTOM:
jag testade att betygsätta spel 1228, gav det 2 stjärnor och fick vips "Gånger spelat: 10" och ett par extra poäng..

Koden är seriöst trasig

Tråden är bara något dygn gammal. Har han hunnit mogna så mycket redan? Man dömer väl honom eftersom att han "i detta nu" gör en massa dumheter? Sen om han är gammal eller ung hör väl inte hit. Någon måste ju sätta ner foten och markera var gränsen går.

Tack för upplysningen! Tar upp det här med.

Jag är faktiskt ganska snäll egentligen. Jag kan bara inte låta bli att leta säkerhetshål i hemsidor och i vissa fall använda dem.

Det finns inget som heter "Ganska snäll". På WN uppskattas det inte att man sitter och förstör för andra, speciellt inte för sina kollegor på WN. Visst, personerna här inne besitter stora kunskaper och att hitta ett säkerhetshål eller liknande, är ju något av deras vardag. Men, jag är nästan hundra procent säker på att de inte skulle sitta och göra en BOT, bara för att kunna förstöra. Det är ju ren, idiotisk förstörelse. Gissa hur överfull min databas blev! Dessutom så är jag nästan 100 på att de också skulle berätta om felet och försöka hjälpa till att lösa det.

Jag berättade ju hur jag gjorde.

Ja det gjorde du, men det efter att jag skickat ett PM till dig och frågat. Om du inte hade hetat WASD, hur skulle jag då kunna veta att det var du?

Nåväl, om du vill lyckas inom den här branschen; Skärp dig!

Absolut, man måste stävja sådant innan det går för långt. Det var inte jag som godkände honom :) Är dessutom feberyr lagom till värmen så jag kanske uttryckte mig lite dumt.

Fast bara för att man gör en omogen sak betyder det inte att man är omogen i helhet. Alla har sina dåliga sidor och om man skulle bedöma personer efter dem så skulle alla människor vara idioter.

WASD verkar av sin inställning tycka att om en bank hade en säkerhetslucka i sitt system så skulle det vara helt Ok att råffa åt sig några millar och sen tycka att han gjort något bra!

WASD har en helt oacceptabel inställning till säkerhetsfrågor och vad man får göra eller inte.

Det finns ingen situation där man får utnyttja säkerhetshål för att åsamka någon skada, det är sabotage och troligen dataintrång, båda straffbara enligt svensk lag.

Vem kommer drabbas av WASDs nästa upptåg? Det är bara en tidsfråga innan det sker!

WASD bör bannas på detta forum!!!

De drabbade bör lämpligen göra polisanmälan, i synnerhet eftersom den verkliga identiteten på personen verkar vara känd av de inblandade.

Det tycker jag inte alls -.-
Jag är som sagt ganska snäll egentligen, det var bara mitt första intryck hos er som blev en miss.

Här kommer en extrem liknelse:

Hagamannen var snäll mot sin familj, men ett svin mot de ensamma tjejer han misshandlade och våldtog. Ska han slippa straff bara för att han var snäll i övrigt?

Jag jämför inte gärningarna på något sätt. Om man gör något olagligt så kommer man inte undan med att man "egentligen är ganska snäll".

WASD. Du är bara löjlig. Om du gör något du inte ska, vem tror du då bryr sig om att du "egentligen är snäll", patetiskt!
Jag orkar inte argumentera mot dig egentligen, du förstör bara för dig själv. Om du förstör din karriär på wn, då missar du mycket! Jag hoppas att alla inser hans mål, att vara allmänt dryg. Detta inlägg skrevs för övrigt via min mobil, som inte är en smartphone, om ni saknar radbyten etc. ^^

Normalt sett skriver du bra saker här men nu tycker jag du är helt ute och cyklar. Jag tänker inte alls försvara det WASD gjort men din jämförelse är lite långsökt. Det är lite som att säga "Du tycker det är okej att cykla mot rött? Då är det inte långt till din första misshandel.". Jag tycker självklart också att sabotage ska beivras men verkligheten är långt ifrån så svart och vit som du framställer den.

Jag tror heller knappast det inträffade skulle leda till någon fällande dom om man skulle anmäla personen ifråga. Polisen prioriterar förhoppningsvis bättre än så.

Äh, så värst farligt är det väl inte? Att en webbutvecklare får huvudbry för att hen kör kass kod tycker i alla fall jag är något positivt. Det är bättre än att säkerhetshålen uppdagas av någon illvillig typ som utnyttjar det för egen vinning. Dessutom är det lärorikt både för den som hittar/utnyttjar hålet och för den som driftar sajten.

Jag tycker i alla fall inte att frågan är så svartvit som många får det att framstå som.

Nu är det ju dock så att han Gjorde en egen bot BARA för att kunna förstöra/fuska på sidan. Det är något som långt ifrån uppskattas, likaså hans nonchalanta attityd.

Han kanske inte gjorde det BARA för att fuska på sidan. Tror han lärde sig en del på det också. Alltså egen vinning i dubbel bemärkelse: Bättre resultat i spelet och ny kunskap.

Sådant kan ofta vara bra för båda parter (som emilv skriver). Vad jag tycker skulle kunna gjort det hela lite bättre var om han meddelat TS att detta säkerhetshål finns. Då får WASD lite cred för det han hittat, och TS får en chans att rätta till felet innan nån annan gör samma sak.

Sen är det självklart inte rätt att hacka sig in och roffa åt sig saker man inte har rätt till, men det finns som sagt fler sidor än svart och vitt...

"Om du gör något du inte ska, vem tror du då bryr sig om att du "egentligen är snäll", patetiskt!"
Eftersom de flesta här aldrig träffat mig förklarar jag bara som det är. Om jag är medlem på ett forum ett bra tag och gör en miss förstår alla som är medlem där att jag egentligen är snäll, men nu måste jag förklara det eftersom ingen här vet vem jag är.

"Jag orkar inte argumentera mot dig egentligen, du förstör bara för dig själv"
Jag är bara ärlig, om du inte vill argumentera är upp till dig.

"Om du förstör din karriär på wn, då missar du mycket!"
Det är mycket man missar, och om man inte vet om det spelar det inte så stor roll.
Extrem liknelse: De som tar droger tycker att alla som inte gör det missar något, fast de som inte tar droger var inte vad de missar liksom

Eftersom jag nyss startat en egen hemsida hade jag faktiskt tänkt att posta och läsa lite här men ni verkar inte vara så trevliga mot mig så det blir nog inte av.

"Jag hoppas att alla inser hans mål, att vara allmänt dryg."
Det är inte alls mitt mål.

Kommer undan lagen gör man inte nä. Men som jag sa tidigare ska man inte bedöma folk efter sina dåliga sidor.



Situationen som uppstått är att ni upplever mig som dryg och är därav dryga mot mig så att jag sedan upplever er som dryga och är dryga tillbaks. Men jag är säker på att ni kan vara snälla människor precis som jag.

Men kan ni inte sluta föra den här diskussionen här på detta forum.
Dessutom så ser jag inget fel från hans sida om inte dina användarvillkor förbjuder detta.

Visst tycker jag också det är lite drygt när användare gör sånt här men jag brukar istället fixa det eventuella hålet och om jag inte vet vad hålet är frågar jag användaren och om den inte svarar så bannar jag helt enkelt användaren.

Ingen anledning att bli särskilt upprörd tycker jag eftersom han inte orsakat någon skada.

Dessutom så se till så du tar kontinuerliga backuper om det mot förmodan skulle finnas något allvarligt fel i din kod.

Låt banker, myndigheter, mm lägga resurser på säkerhet. Det finns webbsidor där säkerhet absolut bör prioriteras för att förhindra att kriminella tar sig in. Men nio av tio webbsidor är totalt ointressanta för yrkeskriminella att hacka. Ändå tvingas de spendera tid och resurser på säkerhet pga att vissa har som hobby att förstöra. Det är inte ok. Så för mig är frågan svartvit. Busungar orsakar större kostnader är vad de riktiga yrkeskriminella gör för nio av tio webbsidor. Yrkeskriminella har inget intresse av att manipulera sina poäng i ett webbspel eller sin ranking på ett community.

Det tar förövrigt två minuter att plocka isär ett vanligt lås på en ytterdörr om man har rätt verktyg. Men eftersom samhället inte accepterar villainbrott på skoj, så finns det få välanpassade ungdomar som har det som hobby bara därför att det är lätt. Det är betydligt enklare och billigare att förklara för ungdomar att det inte är ok med inbrott (även om man inte stjäl något) än att byta ut låsen på hela landets villor och lägenheter.

Om det hade funnits en nolltolerans bland webbutvecklare mot skadlig kod och inbrott, så hade det blivit lika ovanligt med hackade servrar, som det är med villainbrott idag.



Edit: Jag tycker inte att WASD bör bannas från forumet. Däremot så tycker jag att alla medlemmar här borde vara tydliga med att det inte är ok att hacka webbsidor, ens på skoj.

Jag håller absolut inte med dig om det, Gustav. Det är nästan lika viktigt att tänka på säkerheten för precis ALLA som hanterar känslig information på sina sajter, t.ex. inloggningar med lösenord och användarnamn. Att inte säkra sådana system är respektlöst och i princip lika illa som att utnyttja säkerhetsbristerna. Det handlar inte det minsta om intresset från yrkeskriminella (Off-topic: när det gäller den japanska och kinesiska maffian så är idag börshandel och internet högst relevanta) utan vilken information man riskerar att sprida. Till exempel så använder extremt få människor en inloggning för endast EN sajt.

Rätta mig om jag har fel, men i en tidigare version av crusadesage så sparade Menox allas lösenord okrypterade^^

Det är tyvärr svårt att ha en hemsida utan att folk utnyttjar säkerhetshål. Jag tänker på säkerhet på min sida som mina kompisar inte lyckats hitta några hål i än och om de gör det så säger de till mig, såsom när jag sa till Menox.

Som sagt, du sa inte till mig, jag kontaktade dig.
Om du i framtiden meddelar mig direkt när du lyckas utföra något som uppenbart inte är meningen att det ska gå att utföra, så blir jag jätteglad om du kontaktar mig. Det vinner vi båda på.

Varför skulle diskussionen inte föras här? Det är ju det mest lämpade forumet i hela Sverige, då de allra flesta webmasters hänger här.
Om du stör dig på det så behöver du ju inte bry dig om tråden.
------

Sedan så är det korrekt att jag inte precis förlorade några pengar eller liknande pga. det här. Men, som en del har nämnt så är det viktigt att vi sätter ner foten och markerar vad som är tillåtet och ej. Att börja ge den som utför liknande "bus" stöd, är bara onödigt enligt mig, och sedan så har det ju inte enbart med koden att göra om någon har tid/orken att snickra ihop en BOT just för att kunna sabotera.