PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Skandal VCheck v4.1



jpwfour
24.01.2010, 20:37
[Bugfix nur teilweise, da Scriptseitig nur ein Teil, wenn die Werbenetzwerke da nicht kooperieren, ist keine 100% Sicherheit möglich (siehe dazu Ende des Beitrags)]

Nicht wundern, wenn die User 100% VCheck Rate haben, Ihr als Seitenbetreiber bei den Sponsoren nichts vergütet bekommt.

Variante #1:
Leider wurde hier auf eine "zusätzliche" Passwortabsicherung verzichtet, diese ist aber dringend nötig.

Dazu (wie früher auch) bei den Werbenetzwerken an die RückmeldeURL
&pw=PASSWORT
bzw.
?pw=PASSWORT
anhängen. Dabei steht das ? direkt nach dem .php, sollte schon ein ? drin sein, die 1. Variante mit dem &

In der vg_datei.php dann einfach oben sowas wie:
<?php
if($_GET['pw']!='PASSWORT')die('...');gerne auch schon vor dem Einbinden der funktions.lib :wink:

Variante #2:
Einfach die Datei vg_datei.php umbenennen (in xyzayag13.php bspw), auch hier müssen die Links bei den Werbenetzwerken entsprechend angepasst werden. (#12 (http://www.designerscripte.net/showpost.php?p=81172&postcount=12))

Oder noch besser, Beides :biggrin1:

--

Allzu viele User/Faker sind da noch nicht draufgekommen, es werden aber wie halt immer tägl. mehr :knueppel:

Denke man kann sich auch schon vorstellen, wie die das machen (könnten), Da ja var1 bzw v1 für jeden ersichtlich im Frameset der fc.php bspw. ersichtlich sind, und die KampagnenID auch meist aus der AufrufURL zum Sponsor hin hervorgeht.

Am besten fände ich's, wenn das nachgerüstet würde.


Evtl. funktioniert das mit dem Passwort anhängen nicht bei jedem Sponsor (wobei das ohne natürlich ungut ist), in dem Fall sollte man den Sponsor daraufhinweisen!

-- Dies bringt nur bei den Werbenetzwerken Sicherheit, die die VCheckURL direkt von ihrem Server aus aufrufen, was aber eigentlich jedes machen sollte. Einige sparen sich das, und delegieren diese Aufgabe an den User weiter, was ihnen Systemressourcen spart, aber jegliche Sicherheit zunichte macht!

j.knopf
24.01.2010, 22:24
das Problem ist eben, das man mit einigen kleinen Tools das PW sichtbar machen kann, weil es von den Sponsoren unverschlüsselt gesendet wird. Deshalb habe ich auch direkt drauf verzichtet, da es ja bekanntlich Admins gibt die für alles das selbe Passwort verwenden (entgegen aller Warnungen) und da wäre es noch unsicherer ein unverschlüsseltes PW vom Sponsor zu empfangen

jpwfour
24.01.2010, 22:35
URL mit Testaccount, dann mach ich das mal eben :wink:

EDIT: zur Erklärung: Es muss ja einen Parameter geben, der "sicher" ist, den also nur der Seitenbetreiber und das Werbenetzwerk kennt. Das kann also keiner sein, der zw. diesen beiden öffentlich übertragen wird, höchstens man würde dafür eine Verschlüsselung anwenden, was aber die WNW nicht unterstützen.
Also bleibt nur ein fester Wert, der direkt beim WNW angegeben wird, oder man checkt die IP des Aufrufers und ordnet die den WNW zu etc.

j.knopf
24.01.2010, 22:40
ich glaube dir das schon, nur bringt dein Vorschlag eben nur "falsche Sicherheit"..

jpwfour
24.01.2010, 22:41
Wie sollte das mit dem Passwort sichtbar machen funktionieren?

Das Passwort ist nur in der DB des WNW gespeichert, und wird nur für einen Direktaufruf der PHP datei verwendet.

Da müsste man sich ja zwischenschalten, was zwar nicht ganz unmöglich ist, aber mit kleinen Tools kommt man da afaik nicht weit.

j.knopf
24.01.2010, 22:45
andererseits ist es so, das aus mehreren Variablen und einem PW, das der Admin selber bei der Installation vergibt ein MD5hash gebildet wird und dieser muss in der DB sein und auch noch innerhalb der Kampagnenzeit ...also bevor das Topframe auf vergütung umspringt bestätigt werden muss, damit der User den Klick auch vergütet bekommt...zumindest bei den "kurzen Kampagnen" garnicht so einfach das zu manipulieren, selbst wenn man weis was man tut

jpwfour
24.01.2010, 22:51
Der Eintrag in die DB findet nur durch aufruf der topframe statt, ergo kann man die SponsorenSeite auslassen. Die kid bekommt man durch das Frameset, damit hat man schon alle nötigen Parameter. Die topframe zu laden, stellt ja keinen großen Aufwand dar, sofern da nicht ebenfalls Werbung drin is, dann macht das faken ja keinen Spass :biggrin1:
Dasselbe Script ruft sofort danach die vcheck URL auf, da hier auch nicht der Mindestaufenthalt gecheckt wird, sprich man kann nach 1 Sekunde schon die Rückmeldung "vergütet" generieren, wobei der Aufenthalt 60 Sekunden beträgt. (Das kann man aber kaum sperren)

Dann muss man ja nur die topframe eben nach Ablauf MA reloaden, fertig.

Kein lästiges Aufhalten mit Massen Frame seiten, Popups, Viren etc. und noch dazu 100% VCheck.

Durch mehrmaliges laden der topframe und ebenfalls vcheck url mit den gleichen Parametern lässt sich so auch ein vcheck Wert von 2 Mio Aufrufen generieren, was zwar lustig ist, aber leider keine Lose einbringt, die Überprüfung is ja unabhängig vom vcheck

Lokutos
24.01.2010, 22:57
Also das mit dem passwort wahr ein Problehm beim Holstenjungs script
habe ich mir mit ihm angeschaut er hatte einen normalen aufruf im browser des users gemacht woher du warscheinlich meinst das man es auslesen kann.

mitlerweile ist es so gestalltet das der aufruf direkt von Sponsor -->Betreiber geht und der user Keinerlei möglichkeit hat diesen abzufangen.
das sicherste währe natürlich wenn man die ip des aufrufes des sponsors sich nimmt und die sepichert in einer tabelle und dan für die vergütung der kampagne abgleicht ob die ip zum sponsor passt.

MFG Lokutos

jpwfour
24.01.2010, 23:02
Also das mit dem passwort wahr ein Problehm beim Holstenjungs script
habe ich mir mit ihm angeschaut er hatte einen normalen aufruf im browser des users gemacht woher du warscheinlich meinst das man es auslesen kann.

mitlerweile ist es so gestalltet das der aufruf direkt von Sponsor -->Betreiber geht und der user Keinerlei möglichkeit hat diesen abzufangen.


Lol, da vergeht einem ja echt alles, auf die Idee bin ich nichtmal gekommen, danke dafür.

Aber ich denke, bei den meisten WNW kann man davon ausgehen, dass die Anfrage -> VCheck URL so abgeht, dass man sie nur abfangen könnte, wenn man diese Anfrage DNS seitig umleitet, und das ist dann doch etwas sehr viel Aufwand.



das sicherste währe natürlich wenn man die ip des aufrufes des sponsors sich nimmt und die sepichert in einer tabelle und dan für die vergütung der kampagne abgleicht ob die ip zum sponsor passt.

MFG Lokutos

Jo, nur leider noch "userunfreundlicher" als das Passwort, da ja Sponsoren regelmäßig Ihre Server respektive IPs wechseln, etc. da wäre viel zu viel "Eigenarbeit" gefordert ^^
Abgesehen davon, dass es ja theoretisch möglich wäre, eine Domain unter der selben IP zu haben, wobei das wohl eher auszuschließen ist, da sicher (:biggrin1:) jedes WNW ja nen eigene root hat und auch ne eigene IP, und keiner auf nem Webspace hostet (:rolleyes:) (ok, solche WNW sollte man eh von allem Ausnehmen, aber evtl sind das mehr, als man erwartet)

the-carnage
25.01.2010, 09:17
jpwfour


das mit den passwort hilft das auch mir bei hplose
wir hatten gestern ja gestestet und hplose bekomme ich nie eine v check vergütung

oder skandal hast du schon ein fix für das problem
das bei mir hplose nicht geht aber AIn und DSN geht

eaxo
25.01.2010, 12:33
Jo, nur leider noch "userunfreundlicher" als das Passwort, da ja Sponsoren regelmäßig Ihre Server respektive IPs wechseln, etc. da wäre viel zu viel "Eigenarbeit" gefordert ^^[...]
Was spricht den hier gegen gethostbyname() (http://de2.php.net/manual/de/function.gethostbyname.php) in einem Tagescron?
Wenn dann geprüft wird ob die Absenderadresse == Sponsorenadresse ist kann man doch das Passwortgedönse hintenan stellen.

Das weitere Dienste, schlimmstenfalls unter anderer Leitung, auf den Servern laufen können Sponsoren doch verhindern in dem Sie einfach Werbung abbauen lassen, die gar nicht bei Ihnen gebucht wurde :frusty:

eaxo

j.knopf
26.01.2010, 04:16
@ the-carnage

wie soll ich was fixen, was ich nicht sehen kann. Merkwürdigerweise bist du der einzige der von HP-Lose nichts vergütet bekommt...Habe dir angeboten per ftp mal reinzuschauen, aber da kam ja dann keine Antwort mehr..Ne Glaskugel habe ich nicht und weis also auch nicht, was du da gezaubert hast.

@der Rest (Gedankenanstoss)

schonmal drüber nachgedacht, das die vg_datei auch nicht zwangsläufig vg_datei heissen muss?. Wen hindert es die Datei du_mich_auch_mal.php zu nennen und natürlich die Links dementsprechend anzupassen. Dann sollte das Thema eigentlich auch beseitigt sein. Vll sogar noch effektiver als das die Datei bei jedem gleich heisst und am Ende wieder ein PW benutzt wird, das der Admin für alles andere auch genutzt hat.

the-carnage
26.01.2010, 07:23
du kannst nur bestimmte dateien bekommen aber auf den ftp lasse ich niemand drauf weil da daten in bestimmten datein sind die nicht jeder wissen muss

dann schreibe mir an welche email ich die forced.. usw dateien schicken kann

kakuzu
26.01.2010, 14:45
jpwfour


das mit den passwort hilft das auch mir bei hplose
wir hatten gestern ja gestestet und hplose bekomme ich nie eine v check vergütung

oder skandal hast du schon ein fix für das problem
das bei mir hplose nicht geht aber AIn und DSN geht


[OFF TOPIC an]
Sry für Off Topic!

Überprüfe nochmal ob du den Pfad zur vg_datei.php bei HPLose richtig drin hast. Diese ist oft der Fehler wieso nicht vergütet wird.
Bzw hast du zusätzliche Aufendhalsdauer eingestellt? Diese vllt mal erhöhen und schauen obs dann geht.

[OFF TOPIC aus]

Ich empfehle Variante 2, da es immer mal sein kann der Sponsor den VCheck nicht von seinem Server aus läd und das Risiko des das PW offen versendet wird besteht.

jpwfour
26.01.2010, 19:03
...
Ich empfehle Variante 2, da es immer mal sein kann der Sponsor den VCheck nicht von seinem Server aus läd und das Risiko des das PW offen versendet wird besteht.

In dem Fall sichert ja Variante #2 auch nicht ab, und das Passwort sollte ja auch ein eigenes sein, und nicht das EF/Mail/Adminforce-Passwort, denke das versteht sich von selbst.

Am besten wäre es wohl, solche Sponsoren entweder gar nicht erst einzubauen, oder für die die Datei einfach kopieren und halt weiterhin vg_datei.php zu nennen, und alle anderen Sponsoren -> anderen dateinamen.

marcaust
29.03.2010, 14:32
Auch wenn der Thread schon älter ist:
Bei http://www.ads2cash.de hat man keine Möglichkeit das Passwort direkt bei denen anzugeben. Das muss als Parameter an die Ziel URL angehangen werden.
In solchen Fällen also: Witzlos ;-(

Das selbe bei:
http://www.ads4allweb.de
http://www.busterzaster.de