Topic: [ANN] &amp; [DEV] SpreadBot 1000 der BTC Altcoin Trading Bot (v2.0 Release) - page 39. (Read 125087 times)

Quote from: Darkwinde on May 20, 2015, 07:46:21 AM

hast du automatisch einen rekursiven Aufruf gegen die Datenbank und kannst potenziell über die API so ggf. manipulieren.

Was, bzw wie kannst du denn da manipulieren?
Bei Checkboxen kannst du auch den Array durchgehen und einen einzelnen SQL Aufruf machen (mit id=1 AND id=5 ...)
Aber manipulieren kannst du da eigentlich nix ;-)

Wie gesagt bin kein Experte an der Front aber was mir nur einfällt ist zum Beispiel:
Das Array durchgehen bedeutet immer X automatische Iterationen wo du dann der Schnittstelle einfach per Script dann eine beliebige Menge an ID's übergibst und dann hauts dir das System unter Last zusammen da die verarbeitung so lange braucht oder es werden wahllos Sachen gelöscht ohne das man sieht woher es kommt.

Aber wie gesagt, wenn ihr es euch baut oder per SQL macht bin ich ja fein damit nur werde ich es nicht umsetzten Wink

auch wenn ich jetzt vielleicht zu paranoid bin ^^

respektiere ich, kein Ding.
Aber nur so am Rande, wenn eine Datenbank mit einen SQL Befehl, der bei 25 ids ein Status auf 1 setzte, nicht innerhalb weniger millisekunden hinbekommt, hat den Namen Datenbank nicht verdient. (und zur Not limitiert man die übergebenen IDs)

Performace Problem wegen der paar IDs würde ich definitiv auch nicht erwarten. Aber sonst könnte man den API Call ja auch via JavaScript auf dem Wen in einer for() Schlaufe anzahlsmässig aufrufen.
Problematischer wären SQL Injection. Aber bei Checkboxen eher ausgeschlossen und mit entsprechendem Code, sprich DB Parametern, sollte das auch kein Problem sein. http://php.net/manual/de/security.database.sql-injection.php

Aber die Diskussion überalsse ich mal den PHP'lern. Grin

whyte

sr. member

Activity: 579

Merit: 259

Quote from: whyte on May 20, 2015, 07:39:50 AM

Quote from: whyte on May 20, 2015, 07:39:50 AM

hast du automatisch einen rekursiven Aufruf gegen die Datenbank und kannst potenziell über die API so ggf. manipulieren.

Was, bzw wie kannst du denn da manipulieren?
Bei Checkboxen kannst du auch den Array durchgehen und einen einzelnen SQL Aufruf machen (mit id=1 AND id=5 ...)
Aber manipulieren kannst du da eigentlich nix ;-)

Wie gesagt bin kein Experte an der Front aber was mir nur einfällt ist zum Beispiel:
Das Array durchgehen bedeutet immer X automatische Iterationen wo du dann der Schnittstelle einfach per Script dann eine beliebige Menge an ID's übergibst und dann hauts dir das System unter Last zusammen da die verarbeitung so lange braucht oder es werden wahllos Sachen gelöscht ohne das man sieht woher es kommt.

Aber wie gesagt, wenn ihr es euch baut oder per SQL macht bin ich ja fein damit nur werde ich es nicht umsetzten Wink

auch wenn ich jetzt vielleicht zu paranoid bin ^^

respektiere ich, kein Ding.
Aber nur so am Rande, wenn eine Datenbank mit einen SQL Befehl, der bei 25 ids ein Status auf 1 setzte, nicht innerhalb weniger millisekunden hinbekommt, hat den Namen Datenbank nicht verdient. (und zur Not limitiert man die übergebenen IDs)

geht mir ja nicht um 25 ID's sondern, dass man es exploiten kann (nach meiner Meinung) und mir ein Sicherheitskonzept für so eine Komfortfunktion zu überlegen ist nicht mal eben so erledigt.

ich verstehe dein problem ...
(lässt sich aber auch durch zig-tausende einzelne Aufrufe genau so erledigen ... da ist es letzlich egal, ob eine ID oder 10 IDs ...)

Darkwinde

hero member

Activity: 700

Merit: 500

hast du automatisch einen rekursiven Aufruf gegen die Datenbank und kannst potenziell über die API so ggf. manipulieren.

Was, bzw wie kannst du denn da manipulieren?
Bei Checkboxen kannst du auch den Array durchgehen und einen einzelnen SQL Aufruf machen (mit id=1 AND id=5 ...)
Aber manipulieren kannst du da eigentlich nix ;-)

Wie gesagt bin kein Experte an der Front aber was mir nur einfällt ist zum Beispiel:
Das Array durchgehen bedeutet immer X automatische Iterationen wo du dann der Schnittstelle einfach per Script dann eine beliebige Menge an ID's übergibst und dann hauts dir das System unter Last zusammen da die verarbeitung so lange braucht oder es werden wahllos Sachen gelöscht ohne das man sieht woher es kommt.

Aber wie gesagt, wenn ihr es euch baut oder per SQL macht bin ich ja fein damit nur werde ich es nicht umsetzten Wink

auch wenn ich jetzt vielleicht zu paranoid bin ^^

respektiere ich, kein Ding.
Aber nur so am Rande, wenn eine Datenbank mit einen SQL Befehl, der bei 25 ids ein Status auf 1 setzte, nicht innerhalb weniger millisekunden hinbekommt, hat den Namen Datenbank nicht verdient. (und zur Not limitiert man die übergebenen IDs)

geht mir ja nicht um 25 ID's sondern, dass man es exploiten kann (nach meiner Meinung) und mir ein Sicherheitskonzept für so eine Komfortfunktion zu überlegen ist nicht mal eben so erledigt.

whyte

sr. member

Activity: 579

Merit: 259

hast du automatisch einen rekursiven Aufruf gegen die Datenbank und kannst potenziell über die API so ggf. manipulieren.

Was, bzw wie kannst du denn da manipulieren?
Bei Checkboxen kannst du auch den Array durchgehen und einen einzelnen SQL Aufruf machen (mit id=1 AND id=5 ...)
Aber manipulieren kannst du da eigentlich nix ;-)

Wie gesagt bin kein Experte an der Front aber was mir nur einfällt ist zum Beispiel:
Das Array durchgehen bedeutet immer X automatische Iterationen wo du dann der Schnittstelle einfach per Script dann eine beliebige Menge an ID's übergibst und dann hauts dir das System unter Last zusammen da die verarbeitung so lange braucht oder es werden wahllos Sachen gelöscht ohne das man sieht woher es kommt.

Aber wie gesagt, wenn ihr es euch baut oder per SQL macht bin ich ja fein damit nur werde ich es nicht umsetzten Wink

auch wenn ich jetzt vielleicht zu paranoid bin ^^

respektiere ich, kein Ding.
Aber nur so am Rande, wenn eine Datenbank mit einen SQL Befehl, der bei 25 ids ein Status auf 1 setzte, nicht innerhalb weniger millisekunden hinbekommt, hat den Namen Datenbank nicht verdient. (und zur Not limitiert man die übergebenen IDs)

Darkwinde

hero member

Activity: 700

Merit: 500

hast du automatisch einen rekursiven Aufruf gegen die Datenbank und kannst potenziell über die API so ggf. manipulieren.

Was, bzw wie kannst du denn da manipulieren?
Bei Checkboxen kannst du auch den Array durchgehen und einen einzelnen SQL Aufruf machen (mit id=1 AND id=5 ...)
Aber manipulieren kannst du da eigentlich nix ;-)

Wie gesagt bin kein Experte an der Front aber was mir nur einfällt ist zum Beispiel:
Das Array durchgehen bedeutet immer X automatische Iterationen wo du dann der Schnittstelle einfach per Script dann eine beliebige Menge an ID's übergibst und dann hauts dir das System unter Last zusammen da die verarbeitung so lange braucht oder es werden wahllos Sachen gelöscht ohne das man sieht woher es kommt.

Aber wie gesagt, wenn ihr es euch baut oder per SQL macht bin ich ja fein damit nur werde ich es nicht umsetzten Wink

auch wenn ich jetzt vielleicht zu paranoid bin ^^

whyte

sr. member

Activity: 579

Merit: 259

Quote from: GENiALi on May 20, 2015, 06:09:24 AM

hast du automatisch einen rekursiven Aufruf gegen die Datenbank und kannst potenziell über die API so ggf. manipulieren.

Was, bzw wie kannst du denn da manipulieren?
Bei Checkboxen kannst du auch den Array durchgehen und einen einzelnen SQL Aufruf machen (mit id=1 AND id=5 ...)
Aber manipulieren kannst du da eigentlich nix ;-)

Darkwinde

hero member

Activity: 700

Merit: 500

PHP ist nicht meine Welt. Ich schupse Code mit Java, primär aber C#.

Meien auch nicht, erfüllt aber den zweck der Portabilität wunderbar und Perl habe ich zu lange nimmer gemacht ^^

C# ist ok aber Java ist doch eine Insel ^^

GENiALi

sr. member

Activity: 272

Merit: 250

Quote from: GENiALi on May 20, 2015, 05:31:49 AM

Quote from: Darkwinde on May 20, 2015, 05:10:38 AM

Quote from: GENiALi on May 20, 2015, 05:31:49 AM

Das mit den Open Transfers klappt nicht wirklich.
Habe schon wieder zwei offen die schon seit 40 Minuten erledigt sind. Raus auf der einen Seite, rein auf der Anderen. Cryptsy to Bter und zu Poloniex.

Bin ja drann, mal keine Panik hier, manchmal muss man sich halt Zeit nehmen über ein Problem zu grübeln Wink

Als Software Engineer solltest du nicht in die typische Rolle von PM's verfallen ne ständig neue Features wollen tzzzzzzz Wink

Erfreue dich doch daran, dass du Trades über Trades hast Wink

Ah, sorry. Habe den Status wohl überschätzt.
Wenn du da daran bist ist schon mal gut. Lass dir Zeit.
Ich dachte, ich sollte es nochmals platzieren damit es quasi bestätgt ist das es nicht tut. Aber wenn dir das Bewusst ist, dann ist tiptop.

PS: Wenn wir schon bei Features sind. Könntest du die RadioBoxen durch Checkboxen erstzen so das man nicht 10 mal auf Save klicken muss sondern alles aufs mal machen kann?
Heute morgen hatte ich damit echt arbeit. Musste etwa 25mal auf save klicken. Wink

Will dich ja nur ärgern *FG*

Das mit den Radio Buttons ist Absicht. Das ist das minimal Eingeständnis für das Feature, dass eine schreibende Aktion gegen die Datenbank durchgeführt wird. Alles andere ist nur lesend. Wenn du jetzt check boxen machst, hast du automatisch einen rekursiven Aufruf gegen die Datenbank und kannst potenziell über die API so ggf. manipulieren. Mein Wissen um solche Manipulationen vollständig auszsperren ist leider einfach zu gering und auch wenn es aktuell etwas Schemrzen macht, bin ich leider noch nicht bereit das Ziel "kein schreibender Zugriff übers Webinterface" aufzugeben. Hoffe hier auf Verständnis.

Alternativ kannst du gerne dir ein Modul bauen, dass das bewerkstelligt, liegt dann aber außerhalb (wie jede andere Änderung) außerhalb meines Supports.

PHP ist nicht meine Welt. Ich schupse Code mit Java, primär aber C#.

Darkwinde

hero member

Activity: 700

Merit: 500

Quote from: Darkwinde on May 20, 2015, 05:10:38 AM

Quote from: Darkwinde on May 20, 2015, 05:10:38 AM

Das mit den Open Transfers klappt nicht wirklich.
Habe schon wieder zwei offen die schon seit 40 Minuten erledigt sind. Raus auf der einen Seite, rein auf der Anderen. Cryptsy to Bter und zu Poloniex.

Bin ja drann, mal keine Panik hier, manchmal muss man sich halt Zeit nehmen über ein Problem zu grübeln Wink

Als Software Engineer solltest du nicht in die typische Rolle von PM's verfallen ne ständig neue Features wollen tzzzzzzz Wink

Erfreue dich doch daran, dass du Trades über Trades hast Wink

Ah, sorry. Habe den Status wohl überschätzt.
Wenn du da daran bist ist schon mal gut. Lass dir Zeit.
Ich dachte, ich sollte es nochmals platzieren damit es quasi bestätgt ist das es nicht tut. Aber wenn dir das Bewusst ist, dann ist tiptop.

PS: Wenn wir schon bei Features sind. Könntest du die RadioBoxen durch Checkboxen erstzen so das man nicht 10 mal auf Save klicken muss sondern alles aufs mal machen kann?
Heute morgen hatte ich damit echt arbeit. Musste etwa 25mal auf save klicken. Wink

Will dich ja nur ärgern *FG*

Das mit den Radio Buttons ist Absicht. Das ist das minimal Eingeständnis für das Feature, dass eine schreibende Aktion gegen die Datenbank durchgeführt wird. Alles andere ist nur lesend. Wenn du jetzt check boxen machst, hast du automatisch einen rekursiven Aufruf gegen die Datenbank und kannst potenziell über die API so ggf. manipulieren. Mein Wissen um solche Manipulationen vollständig auszsperren ist leider einfach zu gering und auch wenn es aktuell etwas Schemrzen macht, bin ich leider noch nicht bereit das Ziel "kein schreibender Zugriff übers Webinterface" aufzugeben. Hoffe hier auf Verständnis.

Alternativ kannst du gerne dir ein Modul bauen, dass das bewerkstelligt, liegt dann aber außerhalb (wie jede andere Änderung) außerhalb meines Supports.

GENiALi

sr. member

Activity: 272

Merit: 250

Das mit den Open Transfers klappt nicht wirklich.
Habe schon wieder zwei offen die schon seit 40 Minuten erledigt sind. Raus auf der einen Seite, rein auf der Anderen. Cryptsy to Bter und zu Poloniex.

Bin ja drann, mal keine Panik hier, manchmal muss man sich halt Zeit nehmen über ein Problem zu grübeln Wink

Als Software Engineer solltest du nicht in die typische Rolle von PM's verfallen ne ständig neue Features wollen tzzzzzzz Wink

Erfreue dich doch daran, dass du Trades über Trades hast Wink

Ah, sorry. Habe den Status wohl überschätzt.
Wenn du da daran bist ist schon mal gut. Lass dir Zeit.
Ich dachte, ich sollte es nochmals platzieren damit es quasi bestätgt ist das es nicht tut. Aber wenn dir das Bewusst ist, dann ist tiptop.

PS: Wenn wir schon bei Features sind. Könntest du die RadioBoxen durch Checkboxen erstzen so das man nicht 10 mal auf Save klicken muss sondern alles aufs mal machen kann?
Heute morgen hatte ich damit echt arbeit. Musste etwa 25mal auf save klicken. Wink

Darkwinde

hero member

Activity: 700

Merit: 500