That’s a lot of CHI !

Onze applicatie (Planetary Conquest) begint stilletjes aan populairder te worden en voor je het weet zijn er al meerdere gebruikers ons te slim af en hebben al 2 bugs gevonden en gebruikt om zichzelf rijker te maken en zo hele hopen van planeten van anderen af te pakken.

Dat gebruikers slinkse manieren proberen te verzinnen om onze applicatie te hacken zegt volgens ons ook iets over onze applicatie zelf. Zoiets doe je namelijk normaal gezien niet over een applicatie die je niet graag speelt/die niet interessant is. Dit is enerzijds dus een goed teken, anderzijds natuurlijk heel vervelend om op te lossen.

Enerzijds was het mogelijk om via veranderingen in de parameters in de url, negatieve resources mee te geven en zo een zelfde som resources bij te krijgen. Door veranderingen aan onze code was de check op negatieve waarden jammer genoeg weggevallen (mijn fout). Unit tests zouden hierbij heel nuttig zijn geweest.

Dit probleem was gemakkelijk opgelost door de check op negatieve waarden opnieuw in te voeren.

Ten tweede was het mogelijk om de invites pagina, na het sturen van invites, meerdere keren te herladen en telkens weer de resources te verkrijgen.

Dit probleem vroeg veel meer werk om op te lossen. Nu worden alle verzonden invites opgeslagen in de database en wordt er gecheckt of er de voorbije 24 uur al een invite is verstuurd naar die bepaalde personen. Indien wel, dan worden er geen resources toegewezen aan de gebruiker voor die invite.

Een ander probleem waren de neveneffecten van deze hacks. Vele planeten waren ontvreemd van hun eigenaars doordat de aanvaller gebruik had gemaakt van resources die op bovenstaande wijzen verkregen waren. Hierdoor hebben we voor alle planeten hun oorspronkelijk eigenaars moeten achterhalen en hebben we deze terug bezorgd aan hen. Ook zijn de heel hoge science, industry en defense levels weggenomen die mogelijk waren door hoge resources van de gebruikers. En ook de hoge resources zelf zijn (althans grotendeels) verwijderd.