Passwörter auf NyanRO

Shoutbox

  • :)
  • :stare:
  • :(
  • :...:
  • ;)
  • :gg:
  • :P
  • :heh:
  • ^^
  • :ho:
  • :D
  • :ic:
  • ;(
  • :kis:
  • X(
  • :kitty:
  • :*
  • :no1:
  • :|
  • 8o
  • =O
  • <X
  • ||
  • :/
  • :S
  • X/
  • 8)
  • ?(
  • :huh:
  • :rolleyes:
  • :thx:
  • :pinch:
  • :wow:
  • :love:
  • 8|
  • :wacko:
  • :cursing:
  • :thumbdown:
  • :thumbup:
  • :sleeping:
  • :whistling:
  • :ok:
  • :evil:
  • :omg:
  • :!2:
  • :saint:
  • <3
  • :pif:
  • :!:
  • :sabber2:
  • :?:
  • :sabber:
  • :shy:
  • :sleepy:
  • :sry:
  • :swt:
    Odium

    Ich glaub der Server ist abgeschmiert^^

    21:14
    ZeroServal

    Denke nicht. Bei mein Mechanic gibt es da auch kein Unterschied..

    15:46
    Gast#4537

    Ich habe grade meinen BS gespielt und irgendwie bekomme ich keinen Schadensbonus wenn ich power-thrust aktiviere mache ich etwas falsch?

    08:22
    ZeroServal

    Level 10 war anscheind nur bei iRO früher zu erreichen. Nun aber sollte es einfach nur noch veraltet sein.

    14:49
    Keryrubin

    Mach ich..

    07:15
    ProfPapabear

    Keryrubin, macht am besten einen Thread unter Bug Report. Diese Shoutbox hält nicht ewig und die Nachrichten gehen verloren über Zeit

    22:22
    Keryrubin

    2. Die kastrierten 3rd class Skills Espa und Eswhoo gehören auf Stufe 10 und nicht 5 +7. und 3. Lässt sich der AOE Skill Lvl 7 Eswhoo nicht aktivieren Ich schaue ob ich weiteres finde...

    20:08
    Keryrubin

    Mehrere Sachen die eine Bereinigung benötigen. 1. Kein Status-Icon für aktivierte Skills (ablaufende Zeit) rechts für Soul Reaper und Soul Collect.

    20:08
    15peaces

    Die Jobexp sind in dem Range Joblevel- abhängig so wie es aussieht... unter Job 50 gibts keine EXP und dann gestaffelt. ^^

    19:05
    Keryrubin

    So schlecht sind die Edenquest ja nun auch nicht.

    16:21
    ZeroServal

    Keine Ahnung.. Halte nicht viel von der Edengroup

    16:06
    Keryrubin

    Gibt es denn ab Third Class keine Jobexp mehr für die EdenQuest (99-100)?

    15:11
    ZeroServal

    Und was genau darf man sich wünschen? :sabber:

    14:34
    Nyan

    Wünsche für den Adventskalender gerne per PN an mich :)

    23:38
    15peaces

    Der Skill ist damit nicht "falsch", sondern nur nicht aktuell... ^^"

    11:43
    Keryrubin

    Ok thx, dann bin ich erstmal weg bis die Skills alle richtig sind!

    09:40
    ZeroServal

    Wenn es reportet wird, damit es nicht vergessen geht, dann sicher

    09:32
    Keryrubin

    Wird das in näherer Zukunft berichtigt?

    08:59
    ZeroServal

    Jupp. Wir sind noch auf dem Stand von Lvl 5 https://irowiki.org/w/index.php?ti…rch&oldid=48597

    20:56
    Keryrubin

    Trap Research geht nur bis 5?

    20:05
    ZeroServal

    Ist ein Beschreibungsfehler. Ingame steht die Renewalversion da. Bei uns ist es aber die Prerenewalversion, also die hier: https://irowiki.org/classic/Focused_Arrow_Strike

    17:34
    Keryrubin

    Sharp Shooting (1800% ATK) geskillt nur 2950 Damage Output. DS macht (190% ATK) ca. 3000 Damage Output. Was stimmt da nicht?

    16:54
    15peaces

    Hat dein Virenscanner vielleicht irgend ne Datei gelöscht oder so? Oder gibt es irgend nen Fehler? 😅

    06:50
    Gast#6c6b

    Also meine Sis und ich wollten uns den server mal angucken, aber ich komm nach dem patcher nich weiter. Sind 8 Leute online aber bei mir öffnet er kein game. XD ich lass das hier mal so stehen weil wir nun bubu machen.

    20:49
    Mard

    Hihi ich wollte mal Fragen ob der Server noch aktiv genutzt wird und es noch Deutsche Gilden gibt die einen Neuling aufnehmen würden

    17:47

    Hallo liebe Spieler,

    wie einige von euch "alten Hasen" wissen, war und ist mir Transparenz euch gegenüber immer sehr wichtig (gewesen). Daher wende ich mich heute nochmals Aufgrund einer potentiell schwerwiegenden Sicherheitslücke bei uns an euch. (Thread: passwort im klartext)

    Gleich vorweg, die entsprechende Lücke wurde bereits geschlossen und ist nichtmehr nutzbar!
    Denoch bitte ich alle Spieler, rein vorsorglich ihre Passwörter der Ingame- Accounts zu ändern und bei der Gelegenheit (wenn noch nicht getan) eine korrekte E-Mail Adresse in diesen Accounts zu hinterlegen!

    Worum handelte es sich bei dieser Lücke?

    • Wie im Thread beschrieben, wurde bei der Nutzung der "Passwort vergessen" Funktion beim Senden der E-Mail ein "debug output" auf der Homepage angezeigt. Dort wurde unter anderem der Text der gesendeten Mail (und somit auch die angeforderten Account Daten) angezeigt. Dies ist in sofern problematisch, als dass jeder, der euren exakten Account Namen kennt, hiermit auch euer Passwort herausfinden konnte.
    • Hier muss ich mir leider eingestehen, dass ich nach dem Fix dieser Funktion vergessen habe, den Debugger wieder abzuschalten. Nur so konnte es überhaupt dazu kommen.

    Bin ich betroffen?

    • Solltet ihr eine ungültige Mailadresse in eurem Account hinterlegt haben, ist generell nicht auszuschließen, das ein "Angriff" stattgefunden hat!
    • Die entsprechende Nachricht wurde nur angezeigt, wenn auch das Senden der E-Mail erfolgreich war. Das bedeutet, parallel zu dieser angezeigen Nachricht wurde auch immer eine E-Mail an eure in dem jeweiligen Account hinterlegte E-Mail gesendet (ggf. Spam- Ordner prüfen!). Habt ihr seit dem 15.3.2020 eine Mail bekommen und die Funktion nicht benutzt, dann kann es hier zu einem "Angriff" gekommen sein.

    Wie sieht es mit den GM- Accounts aus?

    • Hier kann ich euch beruhigen. Selbst, wenn es einen "Angriff" auf einen GM Account gegeben hätte (was zur Zeit auszuschließen ist), bringt das Passwort allein nichts, um sich einzuloggen und die Rechte zu missbrauchen. Die GM Accounts sind nochmal gesondert geschützt und werden im Zweifel vom Server gekickt.

    Was nun?

    • Die entsprechende Lücke ist bereits geschlossen und kann nichtmehr genutzt werden.
    • Es genügt, rein vorsorglich die Passwörter aller Ingame- Accounts zu ändern.
    • Die Passwort vergessen Funktion wird nochmals überarbeitet und wird dann ein temporäres Passwort erstellen. Zur Zeit ist sie, in alter Funktionsweise aber ohne die Lücke wieder aktiviert.

    Wie sind Passwörter bei uns gespeichert und wie wird darauf zugegriffen?

    • Die Passwörter des Forums sind verschlüsselt gespeichert und werden auch nur so genutzt.
    • Die Passwörter für die Ingame Accounts sind "in Klartext" gespeichert. Dies liegt daran, dass Ragnarok Online keine verschlüsselten Passwörter unterstützt, oder die Verschlüsselung des Clienten nicht für P-Server nutzbar ist.
    • Alle Web-Zugriffe erfolgen bei uns (wenn über die https Seite -> https://nyanro.org aufgerufen) über eine moderne TLS 1.2 Verschlüsselung.
    • Auf der Homepage wird intern, soweit möglich, immer mit Hashes, niemals mit den direkten Passwörtern gearbeitet. So wird verhindert, das bei einem unwahrscheinlichen Abgreifen der (verschlüsselten) Daten und deren Entschlüsselung ein Passwort lesbar wird.
    • Auf den SQL- Server (und somit die Daten) kann ausschließlich über den Root- Server und dort lokal laufende Software zugegriffen werden. Dies sind hauptsächlich der Web- Server (und dortige Erweiterungen wie der Mail Server) und die Game- Server, sowie ein Frontend zur Datenbank- Verwaltung. Es besteht keine externe Zugriffsmöglichkeit, auch administrative Eingriffe erfolgen ausschließlich mit einem direkten Root- Zugang.
    • Alle Zugriffe auf die SQL Datenbanken erfolgen erst nach Prüfung der Befehlszeile auf Manipulationen jeglicher Form.

    Ich hoffe, ich konnte hiermit ein paar Fragen beantworten und möchte mich hiermit nochmals bei allen für diesen miesen Patzer Meinerseits entschuldigen!

    Mfg. 15peaces

Jetzt mitmachen!

Du hast noch kein Benutzerkonto auf unserer Seite? Registriere dich kostenlos und nimm an unserer Community teil!

Benutzerkonto erstellen Anmelden