So wie ich dich verstanden hab, soll das hauptsächlich eine Schutzmaßnahme gegen Bots sein, die sich auf irgendwelchen Rechnern einnisten, deren Cookies auslesen und dann Unsinn anstellen, richtig?
...
Daran hab ich, erhlichgesagt, garnich gedacht, sondern an den klassischen Cookieklau per XSS.
Zitat
Ich frag mich, warum man ein so kleines Browsergame explizit gegen sowas absichern sollte.
...
Ich schrieb ja auch eventuell. Ich wusste halt, dass das gemacht wird und brachte es in den Post ein.
Zitat
Allgemein sollte man eher Sicherheitslücken vermeiden als es den Hackern zu erschweren, sie zu nutzen.
...
Richtig, aber das täte es ja.
Wenn ich annehme, dass ein Besucher immer mit dem selben Browser kommt, dann nehme ich auch an, dass nur dieser das Cookie besitzen kann. Hat ein anderer das Cookie sage ich nein.
Nehme ich allerdings an, dass ein Cookie von überall kommen kann, dann wird ein Hacker nicht ausgeschlossen, wenn er die selben Cookies wie der echte Spieler hat, aber einen anderen Browser.
Woher soll ein Programm wissen, dass es sich um einen falschen Cookie handelt. Oder wie soll ein Browsergame verhindern, dass ein Bot die Cookies durchstöbert?
XSS sollte der Autor vermeiden, ja. Aber mehr kann er in der Hinsicht wohl nicht tun.
Ja, aber man sollte doch für SQL-Abfragen, immer die entsprechende Escapefunktion verwenden (mysql_real_escape_string()), welche alle Zeichen escaped, die dem String gefährlich werden könnten.
Außerdem würde ich hier die unnötige maskierung vermeiden. Mich bringt sowas immer durcheinander.
Geändert von mitaki (18.12.2006 um 00:50 Uhr)
Grund: Querykorrektur (genau das meinte ich >.<) Aha, dein Fehler :p
Zitat
Zitieren