Suche

[smartmusic]

hallo,

ich habe neue spiele auf meiner seite welche auf einem anderen server sind.

dazu musste ein code in die registration,account(edituser) gepackt werden, wo zugriff auf die andere datenbank ist und dort auch eingetragen wird wenn sich neue anmelden.

kann dies negative auswirkungen für mich haben oder zu problemen führen

beispiel aus der useredit:

   #### SPIELE MOD. ####
function UpdateGameData($uname, $passwd) {
   $open = mysql_connect("host", "gecealem", "pass");
   mysql_select_db("gecealem", $open);
   $query = mysql_query("UPDATE PREFERENCES SET PASSWORD = '".$passwd."' WHERE LOGIN = '".$uname."' LIMIT 1");
   if ($query) {
      return TRUE;
   } else {
      return FALSE;
   }
}
      #### ENDE SPIELE MOD. ####


beispiele aus der userregistration:

#### SPIELE MOD. ####
function InsertGameData($uname, $passwd) {
   $open = mysql_connect("host", "gecealem", "pass");
   mysql_select_db("gecealem", $open);
   $query = mysql_query("INSERT INTO PREFERENCES SET LOGIN = '".$uname."', PASSWORD = '".$passwd."'");
   mysql_close($open);
   if ($query) {
      return TRUE;
   } else {
      return FALSE;
   }
}
      #### ENDE SPIELE MOD. ####

[Andi]

Hi

was meinst du mit Nachteilen?

Zur Sicherheit, damit es keine Probleme mit der pragmaMx Datenbankverbindung gibt, würde ich allen mysql_query und anderen mysql-Befehlen die Verbindungskennung mit übergeben.
Also anstatt
$query = mysql_query("INSERT INTO PREFERENCES SET LOGIN = '".$uname."', PASSWORD = '".$passwd."'");
schreibst du:
$query = mysql_query("INSERT INTO PREFERENCES SET LOGIN = '".$uname."', PASSWORD = '".$passwd."'", $open);

Wichtig ist auch, so wie im zweiten Beispiel, dass die zusätzliche Datenbankverbindung, nachdem sie nicht mehr benötigt wird, wieder geschlossen wird.
Also mysql_close($open); sollte auch im ersten Beispiel vorkommen.

Ansonsten dürfte es keine Probleme geben...

[smartmusic]

ja danke...
aber nochmal....

der server mit den spielen ist nicht von uns...die haben diesen code bei uns eingebaut....

können die damit unfug machen und für es zu problemen auf meiner seite?

[jubilee]

Hallo !
Also, wenn ich das richtig verstehe, werden die Logindaten auch an die andere Datenbank geschickt ?
Klasse Idee. Das ich nicht darauf gekommen bin.
Dann stehen ja in der fremden Datenbank sämmtliche Useraccounts von Eurem Portal sammt dazugehörigen Passwort. Braucht er ja gar nicht mehr selbst Hacken, bekommt ja gleich alles geliefert
Wenn das keine potentielle Sicherheitslücke ist, dann weiss ich auch nicht.
Das machst aber nur, wenn der Betreiber des anderen Servers auch Vertrauenswürdig ist, gell ?
MfG
jubilee

[smartmusic]

ja, das sowieso...kann er denn mit den verschlüsselten passwörtern der user was anfangen?

deswegen frage ich ja

[jubilee]

kann er denn mit den verschlüsselten passwörtern der user was anfangen

Naja, das kommt ja jetzt darauf an, wann die Query zur anderen Datenbank geschickt wird. Wenn
das Passwort schon verschlüsselt ist, oder vorher .
Wenns in der edituser.php drinnsteht ist das nur noch der MD5-Hash vom Passwort. Das ist einigermaßen sicher. Wenn auch nicht 100%, weil Du könntest via Bruteforce ja lange genug probieremn und hättest dann irgendwann wieder ein Passwort zum Hash. Dann kommen noch sogenannte Trivialpasswörter (Usernamen und Passwort ist gleich). Das probiert jeder Hacker zuerst aus.
Also KEINE 100% Sicherheit.

MfG
jubilee

[smartmusic]

aber in der datenbank von dem spiele server müsste doch das md5 drin sein....

naja,ich kenne ihn ja zum glück:)

[RiotheRat]

Ich hoffe dass Ihr die User darauf hinweist dass die Daten zu einem externen Server übermittelt werden. Rein rechtlich gesehen müsstet Ihr dazu die Einwilligung der Benutzer haben. Sinngemäss ...

Die Weitergabe von Benutzerdaten an Dritte erfolgt nur mit Einwilligung des Benutzers oder auf Grund gesetzlicher Bestimmungen.

... sonst landet man schnell in einer Art "Grauzone".

RtR

[smartmusic]

ok....danke....was heisst genau grauzone?

[RiotheRat]

"Grauzone" bedeutet dass sich ein User normalerweise für -einen- Dienst (= DEIN Portal) anmeldet. Diese Nutzerdaten werden jetzt an Dritte (= den anderen Server) weiter gegeben. Normalerweise ist ein derartiger Austausch -nicht- zulässig. Es sei denn ...

- der User stimmt dem Datenaustausch zu
oder
- es wird ausdrücklich darauf hingewisen dass diese Daten ausgetuashct werden.

Man muss ja nicht ein juristisches Meisterwerk draus machen, ich -denke- dass ein Hinweis a la "Um Dir einen besonderen Service bieten zu können meldet Dich unser System automatisch beim Gamer-Server (Link) mit an - dies bestätigst Du mit Deiner Anmeldung".

Dieser Text ist rechtlich nicht abgesichert, sondern meine "Meinung" - rechtsverbindlich kann sowas nur der Anwalt Deines Vertrauens beantworten.

RtR