R10 cookiesleri ile ilgili

Selam,
@Coşkun Çetin; r10 çark'ta oynama yapınca çark dönüyor, veri boş dönüyor.
2.Gözüme çarpan f12 console'da genel olarak r10 da cookieslerde neden şifre dönüyor ?
Şifreli olarak görünsede bu şifre cookie eklentileri ile çekilip kırılabilir düşüncesindeyim ?
Geçmişte ele geçirilen hesapların muhtemelen eklentiler üzerinden müdahalesi ile ele geçirildiğini düşünüyorum

Gelen şifre zaten hashli bir şekilde geliyor. Cookie eklentileri ile zaten bir şeyiniz ele geçiriliyorsa orada ki password değeri kale alınmaz, direk tüm cookienizi çeker ve hesabınıza login olur, burada ki asıl sorun cookie de hangi değerin tutulduğu değil sizin bilinmeyen 3. parti eklenti kullanmanızdır. Orada şifre değeri olmasa da mevcut yetkilendirilmiş cookie ile zaten erişim sağlanabilir. Ayrıca bu durum r10.net' e de özel değildir, yetkilendirilme işlemi yapılan tüm web siteleri için aynı durum geçerlidir.

Ekleme;
Cookie de gelen hash tipi geri döndürülemez decodesi olmayan bir şifrelemedir.

MD5, SHA1.Substr(0, 32), MD4, NTLM, md5(md5($plaintext)), md5(md5($plaintext).:.$plaintext), md5(md5(md5($plaintext))), md5(md5(md5(md5($plaintext)))), md5(md5(md5(md5(md5($plaintext))))), md5($salt.md5($plaintext.$salt)), md5(strtoupper(md5($plaintext))), md5(sha1($plaintext)), md5(sha1(sha1($plaintext))), md5(sha256($plaintext)), Radmin2, md5(sha1($plaintext).md5($plaintext).sha1($plaintext)) , md5(md5($plaintext).substr(8,16)),

Yukarıda ki gibi bir durum geçerlidir, burada da yine sorumluluk size düşüyor, geri döndürülemeyen şifrelemeler de havuz sistemi ile decode edilmeye çalışılır. Mevcut şifre 123123 ise o şifre md5 sha1 sha256 vb. şifreleme methodları ile şifrelenir ve şifrelenmiş hali ile şifrelenmemiş hali havuza eklenir. Daha sonra o şifrenin hashli sorgulaması bu sistem üzerinden yapılır, günün sonunda güçlü ve benzersiz şifreler kullanmalısınız.

Çark dosyasına istek gönderdiğinizde boş dönme nedeni hakkınızın olmaması. Siz çarka tıkladığınızda fastwheel.php'ye istek gidiyor ve dönüş olarak kazandığınız ödül id'si ve süre geliyor. Bu ödül ve süre ile bir animasyon oluşuyor ve ekranınıza yansıyor. Çark dönüp durduğu yerdeki hediyeyi vermiyor, çevir'e tıkladığınızda çoktan zaten hangi ödülün geleceği belirlenmişti. Öğeyi denetle ile 0 kısmını değiştirirseniz çark dönüyor zaten, fakat php dosyasında hakkınızın olup olmadığı kontrol edildiği için bir sonuca varamıyorsunuz.

Çalınan hesaplar ise rat loglarından düşüyor, yüzlerce hesap leaklenmişti. Moderatörlere atmıştım düşenlerin hepsini. Bazı forumlarda gövde gösterisi amaçlı free r10 paylaşımı çok yayındı. Eskiden çalıntı hesapların bu kadar yaygın olma nedeni de buydu.

md5 sha1 vb. birden fazla method ile şifrelenip cookie'ye yansıdığı içinde kırılması mümkün değil. Şifreler şifrelenirken içerisine Salt'ta ekleniyordur zaten, bu da imkansız hale getiriyor.

Açık veya bug olduğunu sanmiyorum hocam. Aklinizda soru işareti varsa @FastPHP; sorabilirsiniz.

Bunun bilincindeyim, ama cookieste neden pw değeri geçiyor onu anlayamadım gerek varmı diye düşünüyorum veya password değeri yerine farklı bir isim atanabilirdi diye düşünüyorum.

Password olarak geçen, password un yanından bile geçmiyor da olabilir hocam, ona back-end tarafını görmeden bir şey diyemeyiz. Ne dönüyor, ne amaçla koyuldu, yem mi atıldı, bunlar hep soru işareti.

Ne şifre koyduğumu hatırlamıyorum yoksa bir kaç şifreleme deneyip eşleştirecektim o değer çıkıyormu diye, belkide yemlemedir.
Dikkatimi çekti konuda paylaşayım dedim arada yokluyorum siteleri ne çeviriyorlar diye..

Dilerseniz şifrenizi yenileyin bi bakın hocam

Selamlar,

Zaten konuda gerekli yanıtlar verilmiş sadece toparlamış olacağım

r10 çark'ta oynama yapınca çark dönüyor, veri boş dönüyor.
- Çarkla oynama yapmanız illegal konuda da özet geçilmiş aslında kazandığınız ödül backendde belirleniyor sonrasında fronta iletilip çarkın orada durması sağlanıyor. Siz olmayan hakkınızla istek atıyorsunuz yani tanımlanmış bir ödül veya hakkınız görünmüyor haliyle boş olanda duruyor. %75 80 oranında bir dağıtım yapıldı.

Neden backendde belirliyoruz?
- R10 da yüzlerce yazılımcı var bunu fronta belirlersek emin olun herkes istediği paketi alırdı. Algoritmada kaybedeceğiniz değer her üye türüne sabit %20 kalan %80 ise kazanabileceğiniz ödüller arasında dağıtılıyor. 2. koşul düşünsenize kurumsal üyesiniz ve silver üyelik kazanıyorsunuz? Ben olsam öfkelenirdim kurumsal üyeyse 2 ödül kazanabiliyor %20 kaybedeceği değer yine sabit, 2 ödül kazanabileceğini düşünürsek bu kazanabileceği 80 oranı 2 e bölünüyor ve rastgele ödül belirleniyor 2 hakkınız var ve 1.de kazanamadıysanız %20 değeri %10 lara çekiliyor.

Bayram elindekini sevdiklerinle paylaşmak, vefadır, hatırlamaktır ve birlik beraberliktir. Her üyenin en az 1 hediye kazanmasını istedik
@Coşkun Çetin; eli açık biri ne kadar istiyorsan ödül dağıtabilirsin yazdı ki algoritmayı 7 8 defa sil baştan kodladım sistemin adaletli dağıttığını düşünüyorum Son güne kadar kod yazdım ve geliştirdim

2.Gözüme çarpan f12 console'da genel olarak r10 da cookieslerde neden şifre dönüyor ? Şifreli olarak görünsede bu şifre cookie eklentileri ile çekilip kırılabilir düşüncesindeyim ?
- Kimlik bilgileri cookie ile tutulur r10 a özgü değil tüm platformlarda bu şekilde şifreniz salt ile md5leniyor kırılması neredeyse imkansız bir hash. eklentiyi atabilen sadece r10 değil tüm hesaplarınızı çalar ve bu sizin sorumluluğunuzda ki bu konuda çalışmalarımız mevcut

Ödüller bugün veya yarın hesaplara tanımlanacak

Farklı bir sorunuz varsa etiketlerseniz yanıtlayabilirim.
İyi forumlar