Dobry itemshop

Witam, poszukuję dobrego item shopu. Nie interesują mnie jakieś zbugowane bojawiemy i jego milion klonów, tylko coś fajnego. Ewentualnie czy ktoś jest w stanie stworzyć indywidualnie.

Z góry dzięki i pozdrawiam :slight_smile:

1 polubienie

może SklepMC - Darmowy ItemShop Minecraft w nowoczesnym wydaniu

7 polubień

Może zainteresować cię SklepMC:

6 polubień

bojawiem55.pl polecam :slight_smile:

Na pewno przeczytałeś wątek?

2 polubienia

Myślałem o SklepMC ale wolałbym pełną swobodę, niż martwienie się czy usługa będzie dostępna czy nie.

nie przeczytałem

ProjectCode.PL - wykonują sklepiki mc na zamówienie, w niskiej cenie, 100zł chyba za sklepik z usługami, i czym tam będziesz chciał

1 polubienie

Tak jak koledzy z góry, polecam SklepMC :grinning_face_with_smiling_eyes:.

4 polubienia

Autor odniósł sie już do ‘SklepuMC’

Cóż, SklepMC to duży projekt i myślę, że Nieznajomy mocno dba o to, żeby sklep się nie wysypał - oczywiście może zdarzyć się taki przypadek, że usługa może przestać działać, ale myślę, że będzie to wynagrodzone + szybko powróci do stanu początkowego. Rzeczywiście odniósł się, ale jeśli nie znajdzie lepszej alternatywy, to będzie widział, że dużo osób poleca ten sklep i może go wybierze.

6 polubień
1 polubienie

Przez ostatni rok działania usługa SklepMC była niedostępna łącznie może ~3 godziny, z czego ostatnie dwie były w środku tygodnia w godzinach porannych i dotyczyły tylko części sklepów, przez co nie wpłynęły znacząco na użytkowników.

Chciałbym zauważyć, że nawet SLA 99.9% zakłada roczną niedostępność do 8h 45m 56s i na okres ostatnich 12 miesięcy nie została przekroczona taka ilość godzin.

Niedługo pojawi się też strona monitoringu, na której będzie można śledzić uptime historyczny oraz na bieżąco. Myślę, że istnieją spore szanse na większy uptime i stabilność niż przy samodzielnie hostowanym itemshopie, szczególnie przy potencjalnych problemach.

4 polubienia

śmierdzi klonem vmcshop standard :thonking:

2 polubienia

No chyba nie xDD Posiadam właśnie wersje Basic i nie umywa się do tego co kolega wyżej zaproponował… przepaść jest ogromna.

ja mówie o standard wygląd podobny

Tylko SklepMC.

6 polubień

@Nohet @paciorjr

Stanowczo odradzam korzystanie z DIVShop w obecnej formie. Zerknąłem na szybko na kod źródłowy i powiem wam, aż takich kwiatków się nie spodziewałem - zawiera on poważne luki bezpieczeństwa.

Najpoważniejsza luka i potencjał na pełny dostęp do waszego serwera

Sklep pozwala autorowi lub dowolnej osobie, która przejmie kontrolę nad domeną twórcy sklepu wprowadzić dowolne zmiany w waszej wersji sklepu na waszym serwerze WWW/VPS. Zarówno w plikach jak i bazie danych. Wszystko to jest możliwe bez waszej wiedzy i zgody.

Wszystkie opisane podatności mogą pozwolić na pełny lub częściowy dostęp do waszych plików na serwerze, bazy danych, czy samego serwera Minecraft poprzez wycieknięcie danych RCON.

Oznacza to, że dzisiaj macie serwer i fajny sklep, a jutro możecie go nie mieć. Jeśli zainstalujecie ten sklep bez izolacji i modyfikacji, atakujący ma potencjalny dostęp do wszystkiego, co jest na serwerze.

Jeśli domena wygaśnie, osoba, która ją wykupi, mogłaby przeprowadzić taki atak bez większych problemów. To samo może zrobić autor w każdym momencie lub dowolna osoba, która uzyska dostęp do serwera/domeny autora.

Wykradanie danych przez zewnętrzne skrypty

Nawet bez powyższej podatności, istnieje możliwość podmiany jednej z bibliotek js hostowanej w domenie twórcy, która jest załączana na stronie, aby potencjalnie wykraść dane sesji administratora.

Zła obsługa nagłówków proxy i potencjał na XSS

Sklep bezmyślnie próbuje pobrać adres IP użytkownika z nagłówków proxy typu Client-IP, X-Forwarded-For, X-Forwarded, Forwarded-For, Forwarded.

Sklep nie weryfikuje prawdziwego źródła tych nagłówków. Atakujący może przekazać w ten sposób dowolny ciąg znaków jako adres IP. Nie ma możliwości wyłączenia tej funkcji bez modyfikacji zlepków kodu w znacznej ilości miejsc.

Wygląda na to, że taki adres zostaje zapisany do bazy bez żadnej obróbki i tak też jest potem ładowany na stronie. Istnieje duże ryzyko, że pozwala to wprowadzić atakującemu do strony logów panelu admina dowolny skrypt, który mógłby, np. wykradać sesję lub od razu dane RCON.

Jak to jest z tym niemartwieniem się o działanie

Zweryfikowałem również pobieżnie, czy divshop będzie działać bez sprawnej domeny twórcy i czy jest self-contained, tj. niezależny.

Odpowiedź brzmi: tylko częściowo, mogą pojawić się problemy, bo nie jest wolny od zewnętrznych zależności zarówno w domenie twórcy jak i innych.

Przetestowałem jak to jest kiedy wszystkie zewnętrzne źródła są niedostępne: strona sklepu nie zostanie załadowana.

9 polubień

Witam, po przeczytaniu Pana wiadomości i podanych argumentów, oprócz pojawienia się w głowie pytań to śmiem twierdzić, że strasznie krytykuje Pan DIVShop, byleby tylko pokazać innym “wszystko inne - złe, SklepMC - dobry”

  • Czemu tak bardzo napiera Pan na DIVShop? Rozumiem, że prowadzi Pan swój sklep, który był wcześniej linkowany, więc pojawia się jakaś konkurencja (chociaż nawet bym tego tak nie nazwał, ponieważ DIVShop jest bądź co bądź nowym projektem, który nadal ma spore szanse na dalszy rozwój)

  • Mógłbym poprosić o jakieś uzasadnienie argumentów w postaci nie wiem… może wycinków z kodu źródłowego? Nie jestem alfą i omegą, jeżeli przychodzi co do czego, ale myślę, że przy odpowiednim wytłumaczeniu i pokazaniu problemu będę w stanie zrozumieć, co miał Pan na myśli. :slight_smile:

Stworzyłem jedynie pojedynczy post dotyczący tego sklepu, opisując swoje znaleziska, bo uznałem je za ciekawe i chciałem ostrzec potencjalnych użytkowników, zanim mleko się wyleje. Byłem zwyczajnie zainteresowany projektem - jestem sam programistą, więc pierwsze jak oceniam takie projekty, to patrząc na kod. Już raz udzielałem odpowiedzi na podobne zarzuty:

Warto zwrócić uwagę, że praktycznie nigdy nie komentuje projektów pozytywnie. Udzielam się w tym dziale głównie, kiedy mam jakieś zastrzeżenia, uwagi, czy rady. Uważam, że takie posty mogą być znacznie bardziej wartościowe dla autora, niż puste pochwały.

Nie mam zwyczaju publikować gotowych exploitów i szczegółowych opisów ataków, szczególnie kiedy są one na tyle poważne. Jednak uważałem, że wypadało, chociaż opisać problemy związane z tym sklepem, bo twórca wątku aktualnie zastanawia się nad wyborem. Sam niezbyt chciałbym się wpakować w potencjalne problemy, jeśli szukałbym odpowiedniego dla mnie sklepu.

Jeśli autor divshop osobiście wyrazi zgodę na publikacje szczegółów na forum, mogę to zrobić. Niestety twórca, zamiast poważnie zastanowić się nad bezpieczeństwem sklepu, neguje istnienie problemów, pomija szczegóły i inne warianty wykorzystania luk oraz woli mnie wyśmiewać w swojej grupce na discordzie:

Uważam, że to co najmniej niedojrzałe zachowanie i należy rozważyć, czy chcemy “robić biznes” z kimś takim, nawet jeśli polega to na uzyskaniu darmowej kopii oprogramowania.

8 polubień