1524 odpovědí na toto téma

[xjurasek]

Jo, zajimavy odkaz. To je asi mozny zdroj uniku dat a falesnych logovacu.

 

Muzem se trosku zamyslet nad fungovanim:

* je vysoce pravdepodobne, ze aplikace "zna" spravnou odpoved - pokud by ji neznala, trvalo by overeni spatne odpovedi delsi dobu nez ted. Nezkousel jsem, ale v jinem vlakne psali, ze funguje overeni spatne odpovedi i bez konektivity

* pokud je to tak, ma aplikace ulozena data lokalne a pujde je proste nacist

* tipuju, ze logovani provadi pres api EnterFindCode, ktery obsahuje retezec s textem. Pokud je predchozi spravne, tak je irelevantni, jestli je odpoved nejaka hash, nebo plaintext

* uz jsem nekolikrat zadal >10 spatnych odpovedi a nic me nezablokovalo. Tj. je mozne, ze EnterFindCode neobsahuje zadny blok a sel by hrubou silou posilat, dokud se proste netrefi (pokud ho aplikace zna, tak plati vyse uvedene). Obzvlast u odpovedi, ktere vyzaduji pouze cislo.

 

Samozrejme nejjednodussi varianta bude fake gps. Pokud se ale nekdo bude snazit, vetsi dirou bude protokol a nasledne napsat skript pouze na odeslani dat "vsechny lab v republice", klidne jednu serii denne. Cast pravomoci je totiz na aplikaci (verime ji, ze dava spravne udaje o gps).

 

Proste ve vysledku je skvelou podminkou nutnost fyzickeho podpisu u fyzicke krabicky. Ta samozrejme jde obejit logovanim od stolu (ne kazdy owner overuje kazdy zapis v logu, u velkych pwt to ani prakticky neni mozne) nebo kobercovym naletem ve skupine lidi ala nejmenovany superhrdina. I kdyz tyto uvahy patri spis do depresivniho koutku.

Tento příspěvek byl upraven od xjurasek: 03 březen 2020 - 22:49

[hlavsic]

Me by jenom zajimalo, jak moc se da temto podvodum ucine zabranit....

[xjurasek]

Me by jenom zajimalo, jak moc se da temto podvodum ucine zabranit....

 

To netusim. Jen me prave informace o LABkach nutily k zamysleni, jak to asi funguje a doufam, ze uvahy nejsou uplne pravdive a ze tam je vetsi slozitost.

 

Podle me fake gps a napr. rootnutemu telefonu jednoduse zabranit nelze. Stejne tak nejde zabranit, aby lidi sdileli spravne odpovedi a tahle kombinace je dost smrtici.

[gord]

Ja se obavam, ze tve uvahy pravdive jsou. Alespon deni kolem podvodniku tomu dost odpovida.

[HaLuMa]

A myslíš, že spíš oblbujou gpsku a píší odpovědi z finálového serveru, nebo že hackli aplikaci, vykradli z ní autorizační klíče a logují přes api?

Nebo vymysleli, jak oblbnou tu aplikaci, aby si myslela, že jsi všechno obešel a jen dodatečně píšeš odpovědi?

[Solim]

...

* je vysoce pravdepodobne, ze aplikace "zna" spravnou odpoved - pokud by ji neznala, trvalo by overeni spatne odpovedi delsi dobu nez ted. Nezkousel jsem, ale v jinem vlakne psali, ze funguje overeni spatne odpovedi i bez konektivity

...

Ano to je pravda, zkousel jsem lovit bez pripojeni na net. Na spatnou odpoved to reaguje hned, na dobrou se snazi pripojit na net a oznami to, ze neni pripojeni na net. Odpovovedet jde pak treba na druhem konci sveta, neb si aplikace pamatuje navstevu mista, jen se musi ta odpoved napsat znovu.

Takze je otazka co posilá aplikace zda jen informaci o spravne odpovedi (pak potes klacek) nebo posila spravnou odpoved na nove overeni. V kazdem pripade je jen otazka casu nez to nekdo rozlouskne.

[xjurasek]

A myslíš, že spíš oblbujou gpsku a píší odpovědi z finálového serveru, nebo že hackli aplikaci, vykradli z ní autorizační klíče a logují přes api?

Nebo vymysleli, jak oblbnou tu aplikaci, aby si myslela, že jsi všechno obešel a jen dodatečně píšeš odpovědi?

 

Tipnul bych, ze proste oblbuji GPS, prijde mi to jako nejjednodussi zpusob (jak ziskali odpovedi je vedlejsi, finalkove servery i diskusni skupiny uz maji). Ostatni byl jen odhadovany postup vyvoje. V principu musi GS duverovat souradnicim, ktere dostanou od zarizeni, coz lze na rootnutych telefonech obejit. Pote pres nejake api posilaji odpovedi (a je irelevantni, jestli tam odpoved jde nebo ne). Bohuzel verim, ze se najde casem "produkt", ktery Ti rovnou na vyzadani zaloguje LABky.

 

Predchozi prispevek Solima jen chovani potvrzuje.

 

Ve vysledku i pres veskere nevyhody je nejlepsi obranou fyzicky logbook. Druhou (mozna naivni) moznosti je proste ignorovat ty, co podvadeji, pohybovat se ve sve socialni bubline "normalnich lidi" a hrat si svou vlastni hru. Bohuzel je to ale unavujici pro ownery.

[vkvkvk]

Osobně bych odpovědi šifroval obdobně jako hesla: Přihodíš k ní sůl (klidně id labky + id mobilu) a vypočteš hash. Ten si klidně aplikace může stáhnout a kontrolovat odpovědi. Získání původní odpovědi pak není jednoduché (pokud je možností více než 1, 2 znaky). Počítáš to hrubou silou stejně jako hesla. Tady do toho asi nebudeš chtít investovat víc jak hoďku strojového času. 

Ale pro označení nálezu se logicky musí připojit na server.

[xjurasek]

Osobně bych odpovědi šifroval obdobně jako hesla: Přihodíš k ní sůl (klidně id labky + id mobilu) a vypočteš hash. Ten si klidně aplikace může stáhnout a kontrolovat odpovědi. Získání původní odpovědi pak není jednoduché (pokud je možností více než 1, 2 znaky). Počítáš to hrubou silou stejně jako hesla. Tady do toho asi nebudeš chtít investovat víc jak hoďku strojového času. 

Ale pro označení nálezu se logicky musí připojit na server.

 

Ano, tento pristup je logicky (do soli bych rozhodne pridal nick), ale obejit pujde pres fake gps. Vim, ze treba Ingress neumoznuje instalaci na rootnutych telefonech, asi vi proc.

 

K predchozi uvaze jak proti tomu bojovat - mozna se inspirovat prave v Ingress, ktery udeluje celkem nemilosrdne ban za poruseni pravidel. Pokud si nekdo chce honit ego na poctu nalezenych cache, je jeho profil to jedine, na cem mu zalezi. Zamezit pristup pri prvnim podvodu na tyden. Pri druhem na mesic? Pri dalsim na rok? Uplne vidim vyfoukle ego :-)

[taxoft]

Jenže to by si museli v GHQ nejdřív vůbec připustit, že je to problém. A jako první krok aspoň přestat podvodníky protežovat na úkor ownerů.

[zvedavkanocni]

Pokud je pravda, že na jedné z nových sérií byli na místě jen tři z deseti prvních zalogovaných, je to s komunitou podstatně horší než jsem si myslela. Zase na druhou stranu si myslím, že dál v čase se číslo obrátí, že tihle "borci" museli být první a dál už budou logovat z většiny ti, co místo opravdu navštíví a "logy z gauče" budou výjimka. Nebo jsem stále ještě příliš velký optimista? Venku u keší potkávám často lidi, co opravdu hrají pro zábavu, chtějí si zpestřit výlet s dětmi - ti určitě nebudou logovat z gauče a využijí labky, pokud o nich vůbec ví, fakt jako průvodce a hru.
Podvodníci jsou jednoduše víc vidět, chápu, že ownery štvou, ale každý owner by měl venku potkat jednu běžnou rodinku, které udělal radost a depka ho přejde. Přijde mi škoda, že FP jako symbolické poděkování jde poslat jen pokud má serie bonusovou keš. Zrovna v sobotu jsem se ptala ownera nových táborských keší, jestli ji plánuje, sérii má pěknou a bod bych poslala ráda.

[Roman_Jaromer]

Ano, tento pristup je logicky (do soli bych rozhodne pridal nick), ale obejit pujde pres fake gps. Vim, ze treba Ingress neumoznuje instalaci na rootnutych telefonech, asi vi proc.

 

K predchozi uvaze jak proti tomu bojovat - mozna se inspirovat prave v Ingress, ktery udeluje celkem nemilosrdne ban za poruseni pravidel. Pokud si nekdo chce honit ego na poctu nalezenych cache, je jeho profil to jedine, na cem mu zalezi. Zamezit pristup pri prvnim podvodu na tyden. Pri druhem na mesic? Pri dalsim na rok? Uplne vidim vyfoukle ego :-)

 

Myslím, že používat fakeGPS není problém ani na nerootovaném telefonu. Já osobně jsem používal fakeGPS při psaní wheriga (ulehčí to výrazně práci) a nikdy jsem svůj telefon nerootoval.

 

Ale jinak s tím postihem souhlasím. Je škoda, že GS na boj s podvodníky (finálkovými servery apod.) kašle.

[Roman_Jaromer]

Pokud je pravda, že na jedné z nových sérií byli na místě jen tři z deseti prvních zalogovaných, je to s komunitou podstatně horší než jsem si myslela. Zase na druhou stranu si myslím, že dál v čase se číslo obrátí, že tihle "borci" museli být první a dál už budou logovat z většiny ti, co místo opravdu navštíví a "logy z gauče" budou výjimka. Nebo jsem stále ještě příliš velký optimista? Venku u keší potkávám často lidi, co opravdu hrají pro zábavu, chtějí si zpestřit výlet s dětmi - ti určitě nebudou logovat z gauče a využijí labky, pokud o nich vůbec ví, fakt jako průvodce a hru.
Podvodníci jsou jednoduše víc vidět, chápu, že ownery štvou, ale každý owner by měl venku potkat jednu běžnou rodinku, které udělal radost a depka ho přejde. Přijde mi škoda, že FP jako symbolické poděkování jde poslat jen pokud má serie bonusovou keš. Zrovna v sobotu jsem se ptala ownera nových táborských keší, jestli ji plánuje, sérii má pěknou a bod bych poslala ráda.

Taky si myslím, že ti podvodníci jsou více vidět, protože holt toho stihnou objet více a tím pádem těch kešek navštíví více, ale těch kačerů, co mají pár nálezů a jsou poctiví bude daleko více. Jen jejich nálezů nebude tolik, aby to v celkovém počtu nálezů bylo vidět...

Jen si to srovnejte... Taková rodinka, nebo i aktivní kačer na malém městě, co to dělá jako jeden z dalších koníčků, má často pár stovek nálezů. Zatímco někteří podvodníci několik desítek tisíc... To je stokrát víc. Tj. autoři se s těmito logy setkávají bohužel daleko častěji. Pokud však bude i třeba 1/3 logů v nějaké mysterce od podobných rychlokačerů, je to důkaz, že opravdu 1/3 kačerů podvádí? Já myslím, že ne... Spíše to bude 1/30 spíš ještě daleko méně... Právě kvůli tomu nepoměru počtu nálezů, které stihnou ti podvodníci... Kteří ještě k tomu jezdí často ve skupinách...

 

A bohužel na těch Labkách to bude ještě viditelnější, pro jejich možnost logovat virtuálně bez návštěvy místa (ještě daleko více, než virtuálky nebo earthky).

[Kreten8]

Jen tu zopakuji, co jsem už jednou psal: aplikace na Turistické známky se pomocí Fake GPS oblbnout nedá, pozná, že souřadnice jsou podvržené a odmítne návštěvu daného místa potvrdit. Takže když je šikovný programátor, tak se aplikace dá udělat tak, aby se jí souřadnice pomocí Fake GPS nedaly podvrhnout.

[Sven Gumby]

Je škoda, že GS na boj s podvodníky (finálkovými servery apod.) kašle.

Myslím si, že s mimi především nic dělat nechtějí. Protože prosazují geochaching jako hru, která se má hrát. Zpestřit si výlet, mít důvod vyrazit na výlet, poznat nová místa, podívat se na známá místa jinak, a tak. Nikoli předhánět se a vyhrávat. Pokud by měli stíhat podvodníky, potřebovali by rozhodčí, poroty, odvolací komise, antidopingové komisaře... Místo nedělních rodinných výletů na kolech by začali pořádat Tour de France, akorát by na ni houby vydělali.

[martin_tulak]

Myslím si, že s mimi především nic dělat nechtějí. Protože prosazují geochaching jako hru, která se má hrát. Zpestřit si výlet, mít důvod vyrazit na výlet, poznat nová místa, podívat se na známá místa jinak, a tak. Nikoli předhánět se a vyhrávat. 

 

Přesně tohle si myslím taky. Navíc, když se sdílí finálky (ted nemluvím o odpovědích u LABek), není to proti pravidlům. Pravidla (u běžných keší) říkají: přijít na místo a zalogovat se. U LABek to pak je: přijít na místo, najít odpověď a odeslat ji. Nebuďme prosím soudci...

[nalano]

Ahoj, předem velmi děkuji za odvedenou práci. Včera jsem vyzkoušel plugin a vše fungovalo. Dnes při spuštění mi skript padá na tuto chybu

[Script Runtime Error]: LabForGg.ggp.pas

Exception: ''03.03.2020'' is not a valid date

Routine: GETIMPORTTIME

Příčina je v tom, že mám nastavený formát data jako 5.4.2017 (bez 0) a nezafunguje tam správně parsování řetězců. Vzhledem k tomu, že se do ini ukládá datum v pevném formátu, nezávislém na nastavení, dovolil jsme si malou úpravu, na které už mi to vše (asi) funguje, jak má.

procedure GetImportTime; // nacte cas posledniho importu z INI souboru
var s:string;
    ini:TMemIniFile;
    dtd, dtt:TDateTime;
    aYear, aMonth, aDay: word;
    aHour, aMinute, aSecond: word;
begin
  ini:=TMemIniFile.Create(GetIniPathname());
  try
    s:=ini.ReadString(GEOGET_DBNAME,'LastImport','');
    if(s<>'') then begin
      aDay := StrToIntDef(Copy(s, 1, 2), 0);
      aMonth := StrToIntDef(Copy(s, 4, 2), 0);
      aYear := StrToIntDef(Copy(s, 7, 4), 0);
      aHour := StrToIntDef(Copy(s, 12, 2), 0);
      aMinute := StrToIntDef(Copy(s, 15, 2), 0);
      aSecond := StrToIntDef(Copy(s, 18, 4), 0);
      if TryEncodeDate(aYear, aMonth, aDay, dtd) and
         TryEncodeTime(aHour, aMinute, aSecond, 0, dtt) then begin
        GgForm_dtSearchDate.Date := dtd;
        GgForm_dtSearchTime.Time:=dtt;
      end;
    end;
  finally
    if(ini<>nil) then ini.Free();
  end;
end;

Toto jsem přesunul z vedlejšího vlákna.

[mpik]

Kdyby ty nezveřejněné informace vedly k vývoji alternativní aplikace, méně žeroucí, s vektorovými mapami offline, přecházením mezi sériemi, atd, bylo by to dobře. Ale ono to spíš povede k podvádění.

Ale aplikace sama se taky vyvíjí, hledám to pár měsíců a už je jiná než ze začátku, možná ji zlepší, myslím, že nenažranost bude vadit i jiným. Map se asi nedočkáme, pro Američany jsou googlemapy asi nejlepší na světě.

Ale abych pravdu řekl, je mi to jedno. Co jsem zatím hledal, bylo jednoduché, podíval jsem se na mapu a šel jsem na místo bez navigování. A na dohledání zóny už stačí ty metry.

[zvedavkanocni]

Pánové, web se vám povedl, krásně přehledný, vyhledávání super. Díky moc. :-)

Jen mám drobný problém, dříve stažené gpx soubory se mi v mobilu v Locusu zobrazí v pohodě, ale právě stažená Hluboká ne.
Mám systém, že si nestahuji vše do GG, jen když se někam chystám nechám si zobrazit v Locusu příslušné labky z gpx souboru a do GG je tahám až když odlovím a chci si je označit jako odlovené. Hlubokou už jsem si zobrazovala, možná ji z mobilu omylem smazala a dneska nově stažený soubor neotevřu - chyba mezi klávesnicí a židlí? Musím teď nejdřív stáhnout do GG a přes dtb do mobilu?

Tento příspěvek byl upraven od zvedavkanocni: 04 březen 2020 - 12:55

[taxoft]

Přesně tohle si myslím taky. Navíc, když se sdílí finálky (ted nemluvím o odpovědích u LABek), není to proti pravidlům. Pravidla (u běžných keší) říkají: přijít na místo a zalogovat se. U LABek to pak je: přijít na místo, najít odpověď a odeslat ji. Nebuďme prosím soudci...

Prosím, přečti si tohle:

https://www.geocachi...ents/termsofuse

D. Restrictions.

xv. Publish on our websites or anywhere else, solutions, hints, spoilers, or any hidden coordinates for any geocache, Adventure Lab or Lab Cache without consent from the owner.