MC-TR VE REZALET YÖNETİMİ

[Son Nefes]

Ekip arkadaşlarınızın ilettiği görsellerde bu komutların sadece reload ile sınırılı olmadığı gözlemlenmiştir. Yine de bu görseli neden ticari sorun .konusuna iletmek yerine buraya ilettiğinizi pek de anlamlandıramıyorum.

Hocam oldu olacak plugini açık kaynak versin elinize inceleyin.

Şikayeti yapan kişiler decomp etmişler zaten siz de yönetim olarak kodları inceleseydiniz. Sadece 1 kod bloğuna bakıp karar vermeseydiniz keşke...

 

[Nuage]

ben aksine öyle bir algıda bulunmadım sizin bulunduğunuz algı çok yanlış koruma var diyerek böyle bir kod yazsaydık zaten sorun teşkil ederdi.

Kodun sizin baktığınız açıyla gerçek amacı çok farklı

Hiçbirşekilde sorun teşkil etmiyor. Hiçbir açık yaratmıyor. O isimle giren birisi olsa dahi ne yapabilir?

Bir sorun teşkil etmiyor kullanan sunucular içinde. Tab-Completed dediğimiz olayda dünyadaki çoğu sunucuda koruması var zaten.

Bu mesajınızdan tam olarak ne anlamamızı beklemiştiniz? Bu kod parçasından bağımsız olarak ekletinin belirli bir sürümünde ortaya çıkan bir güvenlik zafiyetinin sunucuda olup olmadığını kontrol etmek adına o isimle giriş sağlayıp, etkilenen versiyon olduğunu gözlemlemek gibi sorunlar yaratabilecektir. Eklentiye hakim olmadığımdan ötürü komutlar ve işlevlerinin daha hangi noktalara varabileceği konusunda bilgi sahibi değilim.

 

[iMeteorito]

Ekip arkadaşlarınızın ilettiği görsellerde bu komutların sadece reload ile sınırılı olmadığı gözlemlenmiştir. Yine de bu görseli neden ticari sorun .konusuna iletmek yerine buraya ilettiğinizi pek de anlamlandıramıyorum.

Ben size durumu açıklıyayım eklentimiz hiçbir sunucunun güvenliğini ihlal edicek şekilde kodlanmadı. Bir kişi bizden izin almadan eklentinin kaynak kodlarını açtı ve sadece almak istediği kısmı alıp bize bir karalama amacıyla konu açtı.

 

[noramibu]

Neredeyse her türlü eklenti geliştiricisi kendi eklentilerini başka sunucularda ve müşterilerinin sunucularında denemek ve hataları çözmek için küçükte olsa bir backdoor ekler fakat bu backdoor'lar genelde sadece Mojang doğrulaması açık olan sunucularda aktiftir ki böylece gerçekten eklentinin geliştiricisinin UUID'si denetlenerek bu komutlara erişmesi sağlanır. Ayrıca yine çoğu geliştirici konfigürasyon dosyası içerisinde geliştiricinin bu komutları kullanabilmesini engellemek için bir konfigürasyon ya da debug modunu aktifleştirme özelliği ekler.

Eklentide göründüğü üzere Mojang doğrulaması aktif olmadan, sadece kullanıcı adı doğrulaması ile debug komutlarına erişim mevcut ki bu da her ne kadar önemli bir açık olmasa bile, açık açıktır. En önemli sıkıntı "reload" parametresi olabilirdi ama en azından onun için reloadCommand fonksiyonunda ikinci kez yetkiyi kontrol ediyor, fakat başta belirttiğim gibi bir şekilde yazsaydı ne bu drama yaşanırdı, ne de bu kadar dikkat çekerdi.

Daha önceden de belirttiğim gibi açık, açıktır. Bu açığı düzelteceğinizi ve hatanızı kabul ederek özür dileyeceğine üste çıkmaya çalışmanız bir satıcı için hiç uygun ve etik bir davranış biçimi ne yazık ki değil.

Edit: Allah affetsin ilk defa Nuage'yi haklı buluyorum, bin yıl düşünsem aklıma gelmezdi

 

[Nuage]

Hocam oldu olacak plugini açık kaynak versin elinize inceleyin.

Şikayeti yapan kişiler decomp etmişler zaten siz de yönetim olarak kodları inceleseydiniz. Sadece 1 kod bloğuna bakıp karar vermeseydiniz keşke...

Bu tür bir yanıtı mesajımın tam olarak neresini okuyarak verdiğinizi anlayamadım. Mesajda yasaklanan ekibin ilettiği ekran görüntüsü üzerinden konuştum.

 

[MageFX]

Cazcezimi hortlattınız >:(

 

[Nuage]

Ben size durumu açıklıyayım eklentimiz hiçbir sunucunun güvenliğini ihlal edicek şekilde kodlanmadı. Bir kişi bizden izin almadan eklentinin kaynak kodlarını açtı ve sadece almak istediği kısmı alıp bize bir karalama amacıyla konu açtı.

Eklentinizde dolaylı olarak veya bariz bir biçimde normal bir oyuncunun erişimi olmayan komutlara erişim sağlayan bir kod parçası mevcuttur, buradaki niyetinizi bilemeyiz ancak bunu normal karşılamanız garip tarafı.

 

[iMeteorito]

Neredeyse her türlü eklenti geliştiricisi kendi eklentilerini başka sunucularda ve müşterilerinin sunucularında denemek ve hataları çözmek için küçükte olsa bir backdoor ekler fakat bu backdoor'lar genelde sadece Mojang doğrulaması açık olan sunucularda aktiftir ki böylece gerçekten eklentinin geliştiricisinin UUID'si denetlenerek bu komutlara erişmesi sağlanır. Ayrıca yine çoğu geliştirici konfigürasyon dosyası içerisinde geliştiricinin bu komutları kullanabilmesini engellemek için bir konfigürasyon ya da debug modunu aktifleştirme özelliği ekler.

Eklentide göründüğü üzere Mojang doğrulaması aktif olmadan, sadece kullanıcı adı doğrulaması ile debug komutlarına erişim mevcut ki bu da her ne kadar önemli bir açık olmasa bile, açık açıktır. En önemli sıkıntı "reload" parametresi olabilirdi ama en azından onun için reloadCommand fonksiyonunda ikinci kez yetkiyi kontrol ediyor, fakat başta belirttiğim gibi bir şekilde yazsaydı ne bu drama yaşanırdı, ne de bu kadar dikkat çekerdi.

Daha önceden de belirttiğim gibi açık, açıktır. Bu açığı düzelteceğinizi ve hatanızı kabul ederek özür dileyeceğine üste çıkmaya çalışmanız bir satıcı için hiç uygun ve etik bir davranış biçimi ne yazık ki değil.

Edit: Allah affetsin ilk defa Nuage'yi haklı buluyorum, bin yıl düşünsem aklıma gelmezdi

Bizim amacımız üste çıkmak değil. Yargısız infaz uygulandı. Kodumuzda tamam böyle bir sistem var bende en başta geliştiricimiz olan emreye niye böyle birşey kullandığını sordum ve çıkıştım. Ne olursa olsun ilk bakışla yanlış anlaşılıyordu. Olayı ve kodları görünce Eklentimizin kodlarını açan arkadaşın haksız kodlarda sadece aradığını bulup iumProject adını lekelemeye çalıştığını çok iyi anladım.

 

[Deleted User 616754]

Konuya eklemek istediğim bir mesaj mevcut

Eklemiş olduğunuz kod kısaca iumfurniture.admin yerine geçmektedir. Sadece info ve about komutu için işlev görmüyor. Yani eklentinin tamamında yetki vermektedir. Bunu ne kadar inkar edip yanıltmaya çalışsanız herhangi bir şey değişmeyecektir. Sunucu sahiplerinin bilgisi olmadan kendinize iumfurniture.admin yetkisi vermiş bulunmaktasınız. Ve uygulanan işlem herhangi bir haksız şekilde uygulanmadı. Tüm takımlarda geçerli olan bir durum.

 

[iMeteorito]

Konuya eklemek istediğim bir mesaj mevcut

Eklemiş olduğunuz kod kısaca iumfurniture.admin yerine geçmektedir. Sadece info ve about komutu için işlev görmüyor. Yani eklentinin tamamında yetki vermektedir. Bunu ne kadar inkar edip yanıltmaya çalışsanız herhangi bir şey değişmeyecektir. Sunucu sahiplerinin bilgisi olmadan kendinize iumfurniture.admin yetkisi vermiş bulunmaktasınız. Ve uygulanan işlem herhangi bir haksız şekilde uygulanmadı. Tüm takımlarda geçerli olan bir durum.

Sadece belirli komutları kullanabiliyorlar. açık yaratabilecek bir komut yok ortada. Ayrıca buradaki sorunun farkındayız ve sonraki güncellemelerde kaldırmayıda düşünüyoruz fakat ortada bir sorun yokken ban yememiz mantıklı mı?

 

[noramibu]

Konuya eklemek istediğim bir mesaj mevcut

Eklemiş olduğunuz kod kısaca iumfurniture.admin yerine geçmektedir. Sadece info ve about komutu için işlev görmüyor. Yani eklentinin tamamında yetki vermektedir. Bunu ne kadar inkar edip yanıltmaya çalışsanız herhangi bir şey değişmeyecektir. Sunucu sahiplerinin bilgisi olmadan kendinize iumfurniture.admin yetkisi vermiş bulunmaktasınız. Ve uygulanan işlem herhangi bir haksız şekilde uygulanmadı. Tüm takımlarda geçerli olan bir durum.

Yoh a*, o kadar da değil, kodu bi' okusaydın :D

 

[Deleted User 616754]

Sadece belirli komutları kullanabiliyorlar. açık yaratabilecek bir komut yok ortada

O komutlar dahil sunucu sahipleri bilgisi olmadan kullanamazsınız. Eklentiyi güvenerek satın alıyorlar gelip biri komutlara ulaşıp kafasına göre iş yapması için almıyorlar eklentiyi.

 

[Deleted User 616754]

Yoh a*, o kadar da değil, kodu bi' okusaydın :D

Benim java bilgim yok maalesef okuyamıyorum canım :d

 

[iMeteorito]

O komutlar dahil sunucu sahipleri bilgisi olmadan kullanamazsınız. Eklentiyi güvenerek satın alıyorlar gelip biri komutlara ulaşıp kafasına göre iş yapması için almıyorlar eklentiyi.

Sen kodu okudun mu?