@all: "Sicherheitslücke" im VMS

[Ufisch]

Hallo zusammen,

heute kam ein NL von VIL, dass ein Banner mit einer Vergütung von 99 Mio Lose im System war und mehrmals geklickt wurde.
Warum das passiert ist, ist noch nicht klar. Aber soweit darf es gar nicht erst kommen!

Deswegen habe ich gleich mal in die DB geschaut und gesehen, dass in der Tabelle vms_gebuchte_werbung den Spalten verdienst und preis der Wert DOUBLE 10,2 zugewiesen ist. Da in der Regel keine gebuchte Werbung 99 Mio wert ist, ist dieser Wert vollkommen zu hoch und ermöglicht es eben theoretisch, solche hohen Werte einzutragen. Damit dies nicht passiert, solltet ihr dies dringend ändern.

Ich habe es bei mir auf DOUBLE 7,2 geändert, somit können maximal 99.999,99 Lose eingetragen werden. Der Verlust ist hier nicht mehr so drastisch, sollte es zu einem solchen Problem kommen.
Wer definitiv keine Werbung mit einer höheren Vergütung wie 9.999,99 Losen im System hat, sollte es auf DOUBLE 6,2 ändern.

Ich hoffe, dass das hier nicht schonmal angesprochen wurde, ansonsten bitte ich um Entschuldigung.
Andernfalls halte ich diesen Hinweis als sehr wichtig.

Gruß Ufisch

[hpshstein]

an alle Interface-Progger - 0h Reload-Banner, Textlinks, ...

tja, genau meine rede von voriger woche, da ich mal annehm das banner kam irgendwo über ein interface auf deine seite

[Ufisch]

Nicht ganz. Bei dir ging es um den Reload, hier um die Vergütung!

Außerdem war das nicht bei meiner Seite - zum Glück

[hpshstein]

tja insgeheim hatte ich ja gehofft, dass die herrn die interfaces auch dahingehend absichern - nicht umsonst steht drinn:

ist auch sehr leicht anzupassen für z.b. vergütungshöhe, aufenthaltszeit, ...

aber anscheinend is geld wiedermal wichtiger als kundenzufriedenheit

[Ufisch]

Jetzt mal ehrlich: Was ist wichtiger - Verluste in Millionenhöhe oder ein paar Banner mit 0 Stunden Reload? Gut, da kann auch einer, wenn er es darauf absieht, den banner ganz oft hintereinander klicken. Um dann aber auf die 99 Mio zu kommen, muss er bei einem 500-Lose-Banner 200.000 mal klicken und jedesmal die Bannerseite neu anzeigen lassen!
Du hast schon recht, aber das hier angesprochene Problem hat ebenso mit Userzufriedenheit zu tun. Denn wenn plötzlich XX Mio weniger auf dem EF liegen, wirkt sich das stark aus!
Klar kann man auch im Interface die Vergütungshöhe kontrollieren. Aber ich glaube kaum, dass vom Sponsor ein so hoher Banner kommt, der dann nicht dort auch vergütet wird.
Mit meiner Methode ist es ganz einfach, so kann noch so viel eingetragen werden, es wird auf maximal 99k runtergesetzt!

[hpshstein]

du hast ja recht mit deinen ausführungen, aber ich meine, wenn man schon beim bau eines neuen interfaces ein altes anpasst, kann man doch wenigstens hergehen und sich ein anständiges mal bauen, welches man dann anpasst und verkauft

das mit den 0h reload war auch eher da ne klickrally lief und ich nicht einseh, wieso ich regelkonform klicken soll, wenn dann ein anderer kommt und fleißig 0h reload klickt nachdem sonst nix mehr da ist und mich so vielleicht auch noch mal eben überholt X(

abschließend solltest du aber erwähnen, dass deine methode auswirkungen auf ALLE in der tabelle gespeicherten werbeformen hat - ich denke jetzt z.b. an ein klick4win banner, wo jeder 30. klick gewinnt:

dort könnts ja theoretisch sein, dass man über 10K lose oder sonstwas dann gewinnen würde also sollte man das mit hirn regulieren. bin mir allerdings im moment nicht sicher, ob die klick4win bannergewinne auch unter verdienst gespeichert werden.

[Ufisch]

Doch, die klick4win sind dort auch gespeichert. Deshalb habe ich ja geschrieben, dass man wissen muss, welches meiner beiden Varianten man nimmt. Deshalb habe ich ja auch bis 99k zugelassen.
Gut, wenn ein Banner mit 99k eingebucht wird, ist das auch schon recht heftig, aber trotzdem nicht so dramatisch wie 99 Mio.

[swinxx]

Stimmt, is mir noch garnicht aufgefallen, den Double Wert werde ich auch gleich mal runbtersetzen. Is ja wirklich nciht notwendig das so hoch zu halten !

cu, Swinxx

[Ufisch]

Ich muss mich verbessern.
Für bis zu 99.999,99 bitte folgenden Wert eintragen: 7,2
Für bis zu 9.999,99 bitte diesen Wert eintragen: 6,2

Die erste Zahl steht für die gesamt angezeigten Ziffern, also inklusive den hinter dem Komma.

[swinxx]

Ich hab das mal auf 6,2 gemacht da ja sowieso keine Banner bcuht die über 9999 Lose sind !

cu, Swinxx