Also... Tamper Data (Übrigens nicht Templer Date....Änder mal den Titel) ist ein Programm, das die POST-Daten (und noch einiges anderes) abfängt und anzeigt. Du kannst sie dann beliebig editieren und weiterschicken. Ist ganz praktisch beim debuggen.
Ein Mod kann dich damit nur dann zum User machen, wenn deine Modtask schlecht abgesichert ist.
Folgendes Beispiel:
Er ruft ein beliebiges Profil auf, dass er editieren kann, stellt die Klasse auf User, startet Tamper Data und drückt Enter.
Tamper Data fängt jetzt die Daten ab.
Der böse Mod ändert die übergebene ID per Tamper Data auf deine.
Die Modtask, sofern richtig abgesichert liest seine Klasse aus, gleicht sie mit deiner ab und stellt fest: Der zu editierende User hat eine höhere Klasse als der User, der versucht zu editieren. Daraufhin gibt sie eine Fehlermeldung ab und bricht ab.
Guck nach, ob in deiner Modtask der Teil für das Vergleichen der Klassen drin ist. Wenn ja, dürfte dir Tamper Data nichts anhaben können.
Das kann man übrigens auch auf anderem Wege mit firebug machen, indem man den Quelltext editiert - Das Ergebnis ist allerdings gleich.
Die $CURUSER dürfte mit Tamper Data meines Wissens nach nicht änderbar sein, da sie bei Aufruf der Modtask (Nach Tamper Datas Einmischung) durch die Funktion dbconn() bzw den Aufruf von userdata() in besagter Funktion anhand des beim Einloggen gesetzten Cookies neu gefüllt wird.
TL;DR: Dir sollte nichts passieren können, wenn deine Modtask richtig abgesichert ist.
__________________
Küss mich, ich bin ein verzauberter Kaktus!
Ich repariere keine Gewehre, die sich aufgrund meiner Antworten nicht mehr nutzen lassen
Ge?ndert von june (14.01.2011 um 01:41 Uhr)
Grund: Oh, die fehlenden Buchstaben....
|