Arrêtons les bêtises

@Salius ce post t'est dédié, et sur TON terrain (le forum). 
Il va falloir arrêter de faire de la fausse communication et surtout des "correctifs" qui n'ont qu'une seule finalité : introduire des vulnérabilités architecturales et des dégradations de performance.

Tu as récemment déployé une modification sur l'endpoint de récupération des groupes utilisateur en supprimant la limite de 15 résultats. Ok, pourquoi pas, mais franchement en termes d'effort de développement c'est trivial (retirer une clause LIMIT d'une requête SQL)... Bref.

Ça ouvre la porte à des requêtes N+1 et à une charge non-bornée sur la base de données, qui, soit dit en passant : est déjà très volumineuse en termes de dataset et de charge transactionnelle. Les autres requêtes subissent une dégradation de performance car la DB est monopolisée à traiter une seule query coûteuse. Si j'automatise l'extraction répétée de ces données, ça va créer une saturation des connexions / timeout et potentiellement un dénis de service, sachant que la base de données de City souffre d'une indexation déficiente et d'une optimisation query...inexistante 🧐

C'est pas la première fois qu'une de tes initiatives introduit une faille ou un problème de stabilité du service. Alors par pitié, soit tu adoptes les réflexes d'un développeur et tu fais une analyse d'impact logique sur ce qui peut être affecté, soit tu...pars ? Histoire de tous nous sécuriser. HabboCity en souffre déjà assez comme ça.

Je me suis permis, disposant encore de l'accès, de corriger ta modification, afin d'éviter que mon argumentaire n'inspire des exploitations malveillantes à d'autres.

Honteux... a mon humble avis..

1er - pourquoi ne pas simplement augmenter la limite a 250/150 ..?
2ème - pourquoi un développeur "retiré" a toujours l'accès au code, et au fait de pouvoir modifié a sa guise le code? donc si le développeur souhaite introduire un code malicieux, on sais ce que réserve la suite..

@Gladia - Tout à fait d'accord avec tes 2 points

C'est quand même incroyable d'avoir réussi à rassembler dans un seul et même endroit une concentration aussi dense d'egos surdimensionnés au mètre carré c'est fascinant à observer on dirait une expérience sociale qui a mal tourné où chaque dev se prend pour le descendant direct de Steve Jobs couplé à un ingénieur de la NASA alors qu'ils galèrent à fixer la moindre merde sans creer d'autres merdes

Le pire dans toute cette histoire, c'est cette mentalité de 'chacun pour sa gueule' qui règne en maître y'a aucune cohésion, aucune solidarité, c'est la guerre froide dans les mp parce que SPOILER ALERT vous avez pas de couilles pr parler devant tout le monde tu as l'impression que si l'un d'eux donne un coup de main à l'autre il va perdre des points de vie ou de la crédibilité alors ils préfèrent laisser leurs collègues galérer dans la boue pendant des heures juste pour pouvoir se sentir supérieurs et garder leur petit monopole de connaissances éclatées au sol

Ceci dit g-earth sera patch a la prochaine mise à jour.

Pk tu spoil ? Laisse les finir leur bêtises et laisse les se faire exploiter mdr, de toute manirèe dans 3 mois max y'a plus de city 

Mskn ça fais la guerre a Gearth alors que le retro flop peine a dépassé les 500 connecté au heure de pique, pendant que Habblet propose littéralement une extension gearth-like XD

Faudrais faire des bonne guerre vue la gueule des développeur

@m Ton point est intéressant et ça reflète bien la réalité de City. Mais c'est surtout une affaire de personnalités et de culture interne. C'est d'ailleurs ce qui m'a poussé à partir. Mon post c'est pas juste une démo technique, c'est un manifeste sur ce qui fonctionne mal structurellement et pourquoi ce genre de connerie revient constamment.

sacré salius 

Le véritable problème de sécurité dans cette histoire, c'est que quelqu'un qui n'a plus contribué au développement de City depuis environ un an est encore accès à des codes sources de City et puisse agir dessus.

De plus, recevoir des leçons de sécurité venant de quelqu'un qui ici-même dévoile des portions du code source de l'API publiquement, alors que les mp existent, c'est malvenu.

Concernant le correctif déployé hier, il est tout à fait conforme.

Tout à fait vrai @Salius .
Remercions les cieux que je sois bienveillant...
Tu m'expliqueras en quoi ce bout de requête est une problématique de sécurité. Et par la même occasion, au vu des arguments exposés en quoi tu estimes que c'est conforme. Car s'il faut tester... Je peux !

je te l'avais dit que t'étais idiot @Salius +1 pour moi

inquiétant qu'un joueur qui n'est plus staff depuis 1 an ait tjrs accès à des données aussi sensibles

Suis-je la seule à être perturbée par le fait qu’Irone ait encore des accès alors qu’il n’est plus staff ?

@Alexia visiblement pas, et vous avez bien raison

@Irone Comment ça "vous avez bien raison" ?