Ampere Smalltalk-Thread (Startpost lesen, Handel nur im Marktplatz!, keine Botanfragen!)

nfrai schrieb:
[...]

Was halt total doof gemacht ist, dadurch konnte man über alte IDs eine ganze Zeit lang an den richtigen Stellen den gesamten Stock der bei denen rumlag überwachen ^^
Zum Vergrößern anklicken....
Joa das Shopsystem bei denen bzw, die Verknüpfung mit dem Backend sollten sie überdenken 🙃
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
:popcorn:
 
nfrai schrieb:
Ich habe NBB literally von ziemlich beschissen Sicherheitslücken in ihrer App erzählt, wurde da innerhalb von nem Monat was gefixt? nö
Wahrscheinlich ist meine Nachricht nur auf dem Stapel für den digitalen Datenschredder gelandet 🤡
Zum Vergrößern anklicken....
Du musst auf polnisch schreiben, immerhin sitzt dort deren IT ^^
jobs.nbb.com

Aktuelle Jobs und Stellenangebote 2023 | NBB

* ob m, w oder d spielt keine Rolle. Hauptsache, du bringst Leidenschaft mit!
jobs.nbb.com jobs.nbb.com
 
sth7 schrieb:
Du musst auf polnisch schreiben, immerhin sitzt dort deren IT ^^
jobs.nbb.com

Aktuelle Jobs und Stellenangebote 2023 | NBB

* ob m, w oder d spielt keine Rolle. Hauptsache, du bringst Leidenschaft mit!
jobs.nbb.com jobs.nbb.com
Zum Vergrößern anklicken....
"THIS WILL AWAIT FOR YOU"

"HEREWITH YOU ARE EXACTELY THE RIGHT DEVELOPER FOR OUR PROJECTS"

"notebooksbilliger.de [...] einer der flexibelsten, spannendsten und erfolgreichsten Arbeitgeber Deutschlands."
?
 
nfrai schrieb:
?
Zum Vergrößern anklicken....
Auch immer geil mit Meme Potenzial:

award-best-online-shop-2020.png
 
Ok was erwarte Ich eigentlich, seit Urzeiten sieht man jedes mal folgendes in der Konsole, sobald der Tab-Titel auf "Vergiss mich nicht" wechselt:

Code: 
tab title test 1
tab title test 2
Beitrag automatisch zusammengeführt:

jaja deutschlandtest.de unter anderem bekannt aus:


dttest.PNG
 
nfrai schrieb:
den popup exploit hat nbb anscheinend gefixt, das ist schonmal ein guter schritt nach vorne.
jetzt nur nicht einfach ausversehen alle produktseiten online nehmen, alle gegenmaßnahmen deaktivieren und sich einen gescheiten warteraum zulegen und wir kommen der ganzen sache schon einen schritt näher

Ich habe NBB literally von ziemlich beschissen Sicherheitslücken in ihrer App erzählt, wurde da innerhalb von nem Monat was gefixt? nö
Wahrscheinlich ist meine Nachricht nur auf dem Stapel für den digitalen Datenschredder gelandet 🤡
Zum Vergrößern anklicken....
Warum nur muss ich gerade an Stirb Langsam 4 denken?
 
nfrai schrieb:
Sind halt zusammengenähte Insellösungen
Zum Vergrößern anklicken....
naja, Daten aus SAP abzufragen ist halt n Thema für sich. Insbesondere wenn die SAP-Seite nicht mitspielen will. Wenn die das wirklich direkt verbinden wollen - sollen sie machen. Sinnvollere Lösungen gäbe es da vermutlich schon. Aber nun gut - ist ja auch meinerseits nur alles geraten.
 
Lessons learned für mich heute: Bei nem Request /added_product/ sehe ich im Response, um welches Produkt es sich handelt. Wenn es tatsächlich verfügbar ist, dann habe ich sie im Warenkorb und wenn's ein Gummiboot ist, dann muss das da wieder raus pulen, bevor ich es aus Versehen kaufe. Gibt es auch noch andere Requests, die mir die Produktnamen liefern?

P.S.:
Ich habe schon gefunden!
Danke für's ignorieren! ;)
 
Zuletzt bearbeitet:
Ich glaube nicht, dass NBB nochmal was groß fixen wird, weil der letzte große Fix so in die Hose ging.

Das Problem was NBB hat ist, dass sie die Links nicht schnell genug auf der Nvidia Shop Seite live geschaltet bekommen bevor sie auf ihrere Seite das Produkt freischalten. Dadurch sind die Karten ausverkauft bevor die Links auf Nvidia auftauchen. Anscheinend scheint dies Nvidia durchaus zu interessieren, da NBB sehr aufwendig versucht haben das zu fixen wie ich im folgenden erklären werde:

Die Produktseiten müssen sie anscheinend weit im Voraus einpflegen. Dadurch ist es immer möglich diese Seiten vorher zu finden, da sie von außen erreichbar sind. Z.B. kann man über Produkt Ids crawlen und gucken wohin die Weiterleitung zeigt. Wenn dort Founders Edition steht, bingo! So passiert heute vormittag.


Der letzte große Fix dafür war das Auto-Cancellation-System vom letzten Mal.

Ich vermute die Idee war folgende und eigentlich auch gar nicht so schlecht:

  • NBB schaltet die Produktseiten frei, weil es nicht anders geht
  • An den Nvidia Shop schicken sie jedoch einen Link der einen wilkürlichen Hashwert enthält, wie z.B. diesen hier der noch vom letzten Mal in der Nvidia Partner API vorhanden ist:
  • Das Auto-Cancellation-System storniert dann alle Bestellungen automatisch die nicht diesen Hashwert besitzen, da diese nicht über den vorgesehenen Weg bestellt worden sind
  • Dies hätte den großen Vorteil, dass auch solche Skripte wie von cHico, duality und co. nicht funktionieren würden, da diesen der Hashwert fehlt
    • Auch ein händisches ersetzen der PIDs von irgendeinem Warenkorbbutton würde zu einer Stornierung führen
    • Damit wären alle Warenkorbbutton exploits für das erste gefixed
Womit NBB aber nicht gerechnet hat war, dass sogut wie keiner den Link über den Nvidia Shop nutzt, sondern den vorher geleakten Link oder über Gruppen wie Discord oder Telegram an die Links kommen. Und diese haben den Hashwert nicht mitgeliefert - warum auch immer.

Sie haben dies beim 3090 Drop vom letzten Mal - nicht heute - eingesetzt.

Das Ergebnis ware, dass praktisch alle Bestellungen storniert wurden und es zu einer Beeinträchtigung der Webseite über Stunden hinweg kam, da für jeden Drop sowohl die Zahlungsarten eingeschränkt werden als auch ein Warteraum - teilweise Webseiten weit - implementiert wird. Dies gilt für alle Käufer auf NBB, nicht nur diejenigen die eine Grafikkarte kaufen wollen.

Daher kam auch das seltsame Dauerdrop Verhalten für die 3090 her, die immer wieder ausverkauft, dann wieder verfügbar, dann wieder ausverkauft war. Der Warenkorbbutton ging jedes Mal wieder an wenn Bestand zurückkam durch die Stornierungen.

Das ging stundenlang bis die bei NBB - vermutlich die Managementriege - die Schnauze voll hatten und das Auto-Cancellation-System wieder ausgeschaltet wurde und ganz normale Urls wieder benutzt wurden ohne Hashwert.

Ursprünglich wollte NBB auch die 3070ti droppen, da es aber schon spät am Abend war haben sie diesen auf den folgenden Montag verschoben. Dort wurde dann radikal ohne irgendwelche Maßnahmen die Karte gedropt und war innerhalb kürzester Zeit ausverkauft.


Dieses Auto-Cancellation-System hätte alle Warenkorbexploits gefixed. Und die Idee ist auch gar nicht dumm, nur sind sie davon ausgegangen, dass legitime Käufer über den Nvidia Shop gehen und das ist nicht passiert. Damit haben sie einen ganzen Tag Chaos auf der Seite verursacht.

Ich wette die Chefs bei NBB waren ziemlich angepisst, denn die Uptime einer E-Commerceseite bestimmt auch den Umsatz und umso länger diese beeinträchtigt ist, umso mehr kostet das NBB.

Daher gehe ich davon aus, dass die Chefs keinerlei derartigen Experimente mehr durchwinken werden um nicht nochmal Umsatz zu verlieren. Dies hat natürlich die Konsequenz, dass eben Drops wie heute dabei rauskommen. Denn dieser wäre mit dem Auto-Cancellation-Methode nicht möglich gewesen da das Skript das in Discord geteilt wurde den Warenkorbbutton eines anderen Produktes manipuliert indem es einfach die PID austauscht.


Also stellt euch darauf ein, dass der nächste Drop ähnlich zu heute wird, es sei denn jemand bei der NBB IT zeigt nochmal Eier nach dem letzten Desaster und boxt einen neuen Fix durch.
Beitrag automatisch zusammengeführt:

Ich muss noch hinzufügen, dass auch dieses System beim nächsten Mal umgangen werden kann sobald man verstanden hat wie und wo der Hashwert mitgegeben werden muss.
 
Demischi schrieb:
Ich glaube nicht, dass NBB nochmal was groß fixen wird, weil der letzte große Fix so in die Hose ging.

Das Problem was NBB hat ist, dass sie die Links nicht schnell genug auf der Nvidia Shop Seite live geschaltet bekommen bevor sie auf ihrere Seite das Produkt freischalten. Dadurch sind die Karten ausverkauft bevor die Links auf Nvidia auftauchen. Anscheinend scheint dies Nvidia durchaus zu interessieren, da NBB sehr aufwendig versucht haben das zu fixen wie ich im folgenden erklären werde:

Die Produktseiten müssen sie anscheinend weit im Voraus einpflegen. Dadurch ist es immer möglich diese Seiten vorher zu finden, da sie von außen erreichbar sind. Z.B. kann man über Produkt Ids crawlen und gucken wohin die Weiterleitung zeigt. Wenn dort Founders Edition steht, bingo! So passiert heute vormittag.


Der letzte große Fix dafür war das Auto-Cancellation-System vom letzten Mal.

Ich vermute die Idee war folgende und eigentlich auch gar nicht so schlecht:

  • NBB schaltet die Produktseiten frei, weil es nicht anders geht
  • An den Nvidia Shop schicken sie jedoch einen Link der einen wilkürlichen Hashwert enthält, wie z.B. diesen hier der noch vom letzten Mal in der Nvidia Partner API vorhanden ist:
  • Das Auto-Cancellation-System storniert dann alle Bestellungen automatisch die nicht diesen Hashwert besitzen, da diese nicht über den vorgesehenen Weg bestellt worden sind
  • Dies hätte den großen Vorteil, dass auch solche Skripte wie von cHico, duality und co. nicht funktionieren würden, da diesen der Hashwert fehlt
    • Auch ein händisches ersetzen der PIDs von irgendeinem Warenkorbbutton würde zu einer Stornierung führen
    • Damit wären alle Warenkorbbutton exploits für das erste gefixed
Womit NBB aber nicht gerechnet hat war, dass sogut wie keiner den Link über den Nvidia Shop nutzt, sondern den vorher geleakten Link oder über Gruppen wie Discord oder Telegram an die Links kommen. Und diese haben den Hashwert nicht mitgeliefert - warum auch immer.

Sie haben dies beim 3090 Drop vom letzten Mal - nicht heute - eingesetzt.

Das Ergebnis ware, dass praktisch alle Bestellungen storniert wurden und es zu einer Beeinträchtigung der Webseite über Stunden hinweg kam, da für jeden Drop sowohl die Zahlungsarten eingeschränkt werden als auch ein Warteraum - teilweise Webseiten weit - implementiert wird. Dies gilt für alle Käufer auf NBB, nicht nur diejenigen die eine Grafikkarte kaufen wollen.

Daher kam auch das seltsame Dauerdrop Verhalten für die 3090 her, die immer wieder ausverkauft, dann wieder verfügbar, dann wieder ausverkauft war. Der Warenkorbbutton ging jedes Mal wieder an wenn Bestand zurückkam durch die Stornierungen.

Das ging stundenlang bis die bei NBB - vermutlich die Managementriege - die Schnauze voll hatten und das Auto-Cancellation-System wieder ausgeschaltet wurde und ganz normale Urls wieder benutzt wurden ohne Hashwert.

Ursprünglich wollte NBB auch die 3070ti droppen, da es aber schon spät am Abend war haben sie diesen auf den folgenden Montag verschoben. Dort wurde dann radikal ohne irgendwelche Maßnahmen die Karte gedropt und war innerhalb kürzester Zeit ausverkauft.


Dieses Auto-Cancellation-System hätte alle Warenkorbexploits gefixed. Und die Idee ist auch gar nicht dumm, nur sind sie davon ausgegangen, dass legitime Käufer über den Nvidia Shop gehen und das ist nicht passiert. Damit haben sie einen ganzen Tag Chaos auf der Seite verursacht.

Ich wette die Chefs bei NBB waren ziemlich angepisst, denn die Uptime einer E-Commerceseite bestimmt auch den Umsatz und umso länger diese beeinträchtigt ist, umso mehr kostet das NBB.

Daher gehe ich davon aus, dass die Chefs keinerlei derartigen Experimente mehr durchwinken werden um nicht nochmal Umsatz zu verlieren. Dies hat natürlich die Konsequenz, dass eben Drops wie heute dabei rauskommen. Denn dieser wäre mit dem Auto-Cancellation-Methode nicht möglich gewesen da das Skript das in Discord geteilt wurde den Warenkorbbutton eines anderen Produktes manipuliert indem es einfach die PID austauscht.


Also stellt euch darauf ein, dass der nächste Drop ähnlich zu heute wird, es sei denn jemand bei der NBB IT zeigt nochmal Eier nach dem letzten Desaster und boxt einen neuen Fix durch.
Beitrag automatisch zusammengeführt:

Ich muss noch hinzufügen, dass auch dieses System beim nächsten Mal umgangen werden kann sobald man verstanden hat wie und wo der Hashwert mitgegeben werden muss.
Zum Vergrößern anklicken....
An deiner Stelle würde ich das nicht hier teilen, sondern NBB beraten und 2k am Tag abkassieren :ROFLMAO:

Aber btw. echt gute Zusammenfassung!
 
Anmelden, um zu antworten.

Ähnliche Themen

SynergyCore
Leser-Test zum 500Hz 27" 1440P QD-OLED Monitor: MSI MPG 271QRDE QD-OLED X50
Antworten
9
Aufrufe
2K
Flaggschiff
Flaggschiff
D
[User-Review] Lesertest zum Monitor MPG 271QRDE QD-OLED X50 von MSI
Antworten
1
Aufrufe
997
Kiryu
Kiryu
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh