Idee: Webdienst für Benutzerverwaltung

[LMD]

Hash = Verschlüsselung - Nur dass man unter Hash eben meist eine Zahl versteht - Ist aber auch besser so, denn Zahlen lassen sich leichter speichern.

[Festus1965]

Angenommen, unser user mustermann nimmt als Passwort max.

Eigentlich ging ich davon aus, das wir das Passwort der User auf den MTServern (auth.txt) eh nicht anfassen, da nutzlos wegen der Verschiedenheit des Hash trotz identischem Passwort.

Erst dachte ich ja es ginge um PW zwischen MTS und Auth-Web-Server ... da sosnt keines übertragen oder angefordert werden sollte.

[Lejo]

Hash = nicht signiert
Somit kann nicht nachgewiesen werden, dass die Daten wirklich von einem vertrautem server kommen.

[LMD]

"Verschiedenheit des Hash trotz identischem Passwort"
- wenn die Hashes nicht übereinstimmen habn wir ein ERNSTHAFTES Problem. Da gibts kein Workaround oder so, MTServer und Auth-Web Server MÜSSEN die Gleiche Hash-Funktion benutzen !

[Lejo]

Dem bezüglich frage ich momentan nach:
viewtopic.php?f=47&t=20517

[LMD]

Hash = nicht signiert
na und ? ist auch egal !
Außerdem : Kann es sein das dich das englische Wort "unsigned" verwirrt hat ? Das heißt nichts von signiert, sondern einfach nur dass die Zahl immer positiv ist.

[Lejo]

Wenn das nicht signiert ist kann der client die Anfrage von dem Server an den Hauptserver faken.
Edit: Der eben die Antwort von dem Hauptserver

[TalkLounge]

wenn die Hashes nicht übereinstimmen habn wir ein ERNSTHAFTES Problem

LMD: Les alles oder halt dich raus!
Halbwissen bringt uns nicht weiter!

[LMD]

Wo hast du das gelesen ? Verschlüsselung und Hash sind gleich, bis auf dass du eine Verschlüsselte Sache auch ENTSCHLÜSSELN kannst, was du aber NICHT willst.

[LMD]

Ruhig Blut, TalkLounge.

[LMD]

Das hab' ich gelesen, aber es ergibt keinen Sinn. Da ich davon aus gehe, das der builtin Mod oder woauchimmer sonst die Passwörter gehasht werden, immer den gleichen Algorithmus benutzt, insofern nicht vom serverbetreiber explizit geändert, sollten dann auch die hashes übereinstimmen, da sich der Algo auch in PHP reproduzieren lässt.

Ich will jetzt mal net mitm Finger auf die Halbwissenden zeigen...

BTW : hash = verschlüsselung ist natürlich falsch; ein hash kann net entschlüsselt werden...
EDIT : Diese Topic gleicht momentan schon fast nem Chat :P

[LMD]

TalkLounge :
Indem du deinen Post schön formattierst wird er nicht wahrer :)

[Festus1965]

"Verschiedenheit des Hash trotz identischem Passwort"
- wenn die Hashes nicht übereinstimmen habn wir ein ERNSTHAFTES Problem.

Solange wir ? nicht wissen ob der MTServer
* noch mehr Daten zusätzlich zum Passwort in den Hash mit aufnimmt, oder
* jeder MTServer evtl. einen eigenen erstellt um mit den Cliensts zu kommunizieren,
zu früh gewarnt.
Doch zugegeben, mein Test mit den identischen Hashs auf 3 Servern ging ja, - ABER da das PW des Spielers aus der auth.txt eh nicht auf dem Auth-Web-Server verwendet werden soll, ist das "Spieler Password Hash" kein Problem dieses/unseres Projektes, sondern eines von Minetest selber.

LMD: 4 Posts in Folge ... man bitte nutze edit !

[TalkLounge]

aber es ergibt keinen Sinn

Es gibt halt Dinge, die man sich nicht erklären kann...
Siehe hier

[Lejo]

Lasst doch erstmal den Passowort Sch*** liegen, bis wir eine Antwort haben.
Es gibt noch genügend Dinge zu klären:

• Verschlüsselung
• Ob auch nicht vertraute server rein dürfen
• Was gespeichert wird, wie Onlinezeit etc.

[TalkLounge]

Verschlüsselung

Werden ich/wir versuchen bei: https://letsencrypt.org/

Ob auch nicht vertraute server rein dürfen

Erstmal nicht. Später mal schauen.

Was gespeichert wird, wie Onlinezeit etc.

• Onlinezeit
• Rätsel gelöst(Falls vorhanden)
• Banstatus
• Ob Moderator, also Privs

[Lejo]

Was gespeichert wird, wie Onlinezeit etc.

Ob Moderator, also Privs

Aber man ist ja nicht immer auf allen Teilnehmenden servern ein Moderator.

[Festus1965]

Ob auch nicht vertraute server rein dürfen

Was oder welche Server sind denn Deiner / Eurer Meinung nach
* vertrauenswürdig ... damit wir nebenbai auch da grob erkennen wo es lang geht, wie
* die anderen besser hier nicht nennen, hihi

[TalkLounge]

Aber man ist ja nicht immer auf allen Teilnehmenden servern ein Moderator.

Muss man aber speichern, damit ein Serveradmin in seiner Config sagen kann: Moderator auf Server xy = 10 Stunden Spielzeit etc.

Was oder welche Server sind denn Deiner / Eurer Meinung nach

• Thomas seine
• Lejos
• JoSto seine
• Arcelmis (Gerade nicht online)
• Meine

[Lejo]

Ich werde anfangs erstmal nicht reingehen.
Ich möchte mir erstmal mit einem Testserver ein Blick drüber verschaffen.

Was ist überhaupt wenn ich woanders hingehe dann hab ich ne Komplett andere Ip, wie komm ich dann rein?

[Festus1965]

Muss man aber speichern, damit ein Serveradmin in seiner Config sagen kann: Moderator auf Server xy = 10 Stunden Spielzeit etc.

Irritiert guckt ...
also wenn jemand auf einem Server Moderator ist, ja gut speichern, könnte ja positiv sein, aber
... ein muss, und automatisch nach x Stunden ... verstehe ich jetzt nicht.

Was ist überhaupt wenn ich woanders hingehe dann hab ich ne Komplett andere Ip, wie komm ich dann rein?

Ist weiter oben beschrieben, wird dann abgelehnt, weil man einen neuen IP-Block nur über einen schon besuchten Server (dort bekannt, zugelassen und Passwortzugang vorhanden) ins System einbringen können soll, da sonst Verdacht auf Namensklau.

... Musst du aber nicht, da du immer einen geheimen Key mitsendest und damit ists egal.

Das ist mir jetzt neu ... wäre das nicht dann ein Dritter Teil, eine clientseitige mod ... verwirrt ist.

[TalkLounge]

Was ist überhaupt wenn ich woanders hingehe dann hab ich ne Komplett andere Ip, wie komm ich dann rein?

Du hast aufm Webserver ein Account, wo dus ändern kannst. Musst du aber nicht, da du immer einen geheimen Key mitsendest und damit ists egal.

ein muss, und automatisch nach x Stunden ... verstehe ich jetzt nicht.

Ein Beispiel, je nachdem wie der Serveradmin das einstellt.

Ist weiter oben beschrieben, wird dann abgelehnt, weil man einen neuen IP-Block nur über einen schon besuchten Server (dort bekannt, zugelassen und Passwortzugang vorhanden) ins System einbringen können soll, da sonst Verdacht auf Namensklau.

Wenn du einen ganz neuen IP-Block hast, dann musst du dich erst auf einem bereits registrierten Server einloggen, der dann die IP über den Webserver an den neuen Server schickt.

Das ist mir jetzt neu ... wäre das nicht dann ein Dritter Teil, eine clientseitige mod ... verwirrt ist.

Ich meinte damit die Kommunikation zwischen MT-Server und Webserver

[LMD]

Also wenn wir nicht an das Passwort / einen zuverlässigen Hash fürs Passwort rankommen, halte ich alles andere für ziemlich sinnlos. Aber so wie ich rubenwardy verstehe gibt es einen, wenn auch komplizierten, Weg an einen zuverlässigen Hash ranzukommen. BTW; rubenwardy hat nochmal geantwortet.

[Festus1965]

Also wenn wir nicht an das Passwort / einen zuverlässigen Hash fürs Passwort rankommen,

Meine Güte, kannst Du bitte schreiben welches Passwort zu jetzt hier meinst ?
* das Gamerpasswort Client (Spieler) - MTServer ? (brauchen wir nicht, und ist auch nicht unser Problem)
* das Passwort zwischen MTServer und auth-Web-Seite ... bei deren Kommunikatioon ?
* oder gibt es hier noch eines ...

Wie soll man denn auf Vorschläge und Einwendungen sinnvoll antworten, wenn unklar ist was gemeint ist ?


edit: (nachfolgender Post)

Ich muss mich leider LMD anschließen.
Wenn das mit dem Passwort nicht geht, ist der rest unnötig.

ja, und welches Passwort meinst Du jetzt ?

[Lejo]

Ich muss mich leider LMD anschließen.
Wenn das mit dem Passwort nicht geht, ist der rest unnötig.