Feedback nieuwe scriptregels

Warre

Teamleden
Tribal Wars Team
Reactiescore
946
Dat is het punt, je hoeft geen oogje in het zeil te houden. Je krijgt dan een notificatie (push melding) vanuit een Discord chat. Dus in plaats van opzoek naar informatie, komt die informatie naar jou toe en kan het je zelfs wakker maken dmv geluid (mocht je dat willen) als een stamgenoot incs krijgt.
Ik snap dat dat net iets anders is, vandaar ook "zo veel verschil is dat niet" ipv "dat is exact hetzelfde". Verder heb ik al een voorbeeld gegeven van hoe iedereen dat zou kunnen en er op gewezen dat dit eigenlijk bij inno ligt en niet bij de script regels.

Ja zulke bots bedoel ik. Maar dan is het helder dat dit vanuit de denktank los staat van TW en de regelgeving, het antwoord op die vraag was wat ik zocht. Ik twijfelde namelijk omdat er wel een interactie met TW plaats vind namelijk: TW informatie (bijvoorbeeld rooftochten, incs, overnames) --> doorgeven aan een discord Bot --> vermelding in een Discord kanaal. En dit dan weer in strijd zou zijn met:
Waar ze hun informatie halen is dan weer iets anders, dat moet uiteraard wel op een legale manier gebeuren. De publieke discord bots die ik ken halen voornamelijk informatie van publieke bronnen, zoals overnames bv, hiervoor moet je niet ingelogd zijn dus het is geen interactie met tw (ingame). Bij andere discord bots (meestal prive) gebeurt het verzamelen van informatie ingame via een script (snellijst / userscript), hier wordt informatie dan opgeslagen na bijvoorbeeld op het script of op een knop te klikken en vervolgens verspreid via de discord bot. De discord bot en wat die doet valt dan buiten de script regels, maar het ingame script moet wel voldoen aan de regels en dus goedgekeurd zijn.
 
Reactiescore
1.060
Waar ze hun informatie halen is dan weer iets anders, dat moet uiteraard wel op een legale manier gebeuren. De publieke discord bots die ik ken halen voornamelijk informatie van publieke bronnen, zoals overnames bv, hiervoor moet je niet ingelogd zijn dus het is geen interactie met tw (ingame). Bij andere discord bots (meestal prive) gebeurt het verzamelen van informatie ingame via een script (snellijst / userscript), hier wordt informatie dan opgeslagen na bijvoorbeeld op het script of op een knop te klikken en vervolgens verspreid via de discord bot. De discord bot en wat die doet valt dan buiten de script regels, maar het ingame script moet wel voldoen aan de regels en dus goedgekeurd zijn.
Oke, om het dan afrondend even samen te vatten voor mij als leek, correct me if i'm wrong:

  • Toegestaan: discord bot die informatie haalt van TW zonder dat de gebruiker daarvoor ingelogd hoeft te zijn? De grens van een interactie met TW wordt gemaakt op het moment dat er ingelogd moet worden?
  • Niet toegestaan: discord bot die informatie haalt van TW waarvoor de gebruiker ingelogd moet zijn en een ingame script moet draaien om informatie te verzamelen.
 
Reactiescore
613
Beide is opzich toegestaan al hangt bij het tweede af of het script automatisch draait of met de hand vanuit de snellijst wordt aangestuurd om de informatie op te halen.

Pak Rooftochten geen idee wat hij weer geeft in discord waarschijnlijk van hey het is klaar.
Maar dat is natuurlijk iets wat het script gewoon kan ophalen op het moment dat de rooftocht verstuurd wordt en dan te onthouden tot ze klaar zijn.
 
Reactiescore
1.060
Pak Rooftochten geen idee wat hij weer geeft in discord waarschijnlijk van hey het is klaar.
Maar dat is natuurlijk iets wat het script gewoon kan ophalen op het moment dat de rooftocht verstuurd wordt en dan te onthouden tot ze klaar zijn.
En is dat dan toegestaan ofniet? :tongue:
 
Reactiescore
1.060
Ja het is in feite gewoon een timmertje wat je ook zelf zou kunnen aanzetten.
Maar dit zal van case tot case verschillen afhankelijk van wat voor info je opvraagt en hoe het script dit doet.
Op het moment dat je info opvraagt is er interactie met het spel. Op het moment dat je zelf een timertje aan zet is die interactie er niet. Daar zit voor mij het verschil in. Ik vind het prima om het toe te staan of om het af te wijzen, als er maar linksom of rechtsom een eenduidig en helder beleid gevoerd gaat worden.
 
Reactiescore
1.060
Mja in feite als je zelf dat timertje aan zet moet je ook kijken hoe laat de rooftocht klaar is.
Je moet het zien als een ctrl + C > ctrl + V in je script.
zo'n actie verbieden zou in mijn ogen gewoon het onnodig lastig lopen maken zijn.
Nouja dat is toch interactie met het spel? Iets wat momenteel onder punt 9.

9. Een script mag niet automatisch informatie versturen of reageren op een event op je account.

Niet mag?
 
Reactiescore
95
mm leuke nieuwe ontwikkelingen, helaas nog niet de nieuwe regels zodat we aan de slag kunnen.

Aan de hand van de eerste voorstel nieuwe regels, heb ik een gedeelte gevonden waarvan ik zeg dit moet je zeer sterk verbeteren. Zoals er afgelopen dagen best wel wat besproken is op discord wil ik een aantal punten benoemen. Zodat ook de spelers uit de denktank nog even dit voorstel mee kunnen nemen in de nieuwe regel voorstel.

Na het 4x goed doorlezen van de regels en het duidelijke idee van duckje om 1 command niet langer toe te staan. Heb ik de volgende methode bedacht hoe we 1 command met de zelfde functie kunnen behouden, maar net even anders werkt. Aller eerst is de berkening en ophalen van data van 1 command niet illegaal, maar de focus en sluiten van de pagina is dat natuurlijk wel. De enige reden waarom dat script zou kunnen verboden worden als die 2 opties er uit zijn is door de regel dat tribawars team het recht voor behoud om scripts niet toe te staan. Verder is het script wel legaal en kunnen we het focusen wel anders oplossen door de andere button weg te halen en je in een tekst velt te zetten zodat je als nog met enter door de eerste page komt. Vervolgens het sluiten is helemaal niet moeilijk, want je kunt gewoon naar google gaan en van uit daar je page sluiten. Een link van google openen is namelijk binnen de regels en zodra je op google bent kun je met een user script ze gewoon sluiten. Daarmee is 1 command met ongeveer 10 script regels wel weer legaal te maken. Maar gaat het tribalwars team hier mee in zee om het wederom toe te staan. Ik denk dat ze zeggen afkeur en dan op regel 11 afkeuren.

Maar je zou 1 command ook op je eigen website kunnen na maken en op de zelfde manier de linkjes open schieten met alle informatie voor verzamelplaats mee geven. Maar omdat het op je eigen website is en alleen het openen is van linkjes met parameters mee gegeven zodat tribalwars weet wat je aan troepen wilt sturen of wat de coördinaten zijn. Deze manier valt totaal niet onder de regels. En is daarmee dus volledig buiten alle andere regels te doen. Dat betekend ook dat er een password op gezet mag worden zodat een scripter bepaald wie we toegang tot heeft. En de regels dus echt buiten spel staan voor het trbalwars team.

Daarom wil ik graag aan de leden van de danktank graag de volgende regel er bij introduceren.
Externe tools die interactie hebben met tribalwars en/of innogames dienen door het support team te worden goedgekeurd.
Alle tools die informatie van uit tribalwars gebruiken, ook als dit door middel van andere scripts naar een database gestuurd wordt, dienen gekeurd te worden door het support team.


Deze regels zou er voor moeten zorgen dat alle tools/scripts die buiten tribalwars om gemaakt worden en op welke manier ook info verkrijgen van uit het spel of interactie hebben, gekeurd horen te worden en het strafbaar maken als het support team sporen vinden die niet vooraf vermeld zijn. De regel zorgt er ook voor dat het support team eisen kan stellen aan tools buiten het spel die wel interactie hebben. Ik zie dat dan ook als een zeer open regel waar in het support team zelf de verantwoordelijkheid heeft om hier een goede afweging in bepaalde regels te maken. Waar in mijn idee vooral het beveiligen van prive tools onder valt. Als een scripter hier dan op gepakt wordt dat hij/zei dit doet om het script tot een bepaalde groep te limiteren, zorgt het er voor dat het tribalwars team acties kan ondernemen.

Dit is al eerder besproken in support door mij en is doen af gedaan door seppe als het mag prima achter een password. Helaas is informatie omtrent supports niet toegestaan hier, dus zal ik het bij alleen een ticket nummer voor seppe houden. (#14051857)

Ik hoop echt dat de denktank kan nadenken over die regels en ze eventueel in een andere context omschrijft, maar het doel van de regels wel omschrijft zoals hier boven de bedoeling is.
 

Warre

Teamleden
Tribal Wars Team
Reactiescore
946
mm leuke nieuwe ontwikkelingen, helaas nog niet de nieuwe regels zodat we aan de slag kunnen.

Aan de hand van de eerste voorstel nieuwe regels, heb ik een gedeelte gevonden waarvan ik zeg dit moet je zeer sterk verbeteren. Zoals er afgelopen dagen best wel wat besproken is op discord wil ik een aantal punten benoemen. Zodat ook de spelers uit de denktank nog even dit voorstel mee kunnen nemen in de nieuwe regel voorstel.

Na het 4x goed doorlezen van de regels en het duidelijke idee van duckje om 1 command niet langer toe te staan. Heb ik de volgende methode bedacht hoe we 1 command met de zelfde functie kunnen behouden, maar net even anders werkt. Aller eerst is de berkening en ophalen van data van 1 command niet illegaal, maar de focus en sluiten van de pagina is dat natuurlijk wel. De enige reden waarom dat script zou kunnen verboden worden als die 2 opties er uit zijn is door de regel dat tribawars team het recht voor behoud om scripts niet toe te staan. Verder is het script wel legaal en kunnen we het focusen wel anders oplossen door de andere button weg te halen en je in een tekst velt te zetten zodat je als nog met enter door de eerste page komt. Vervolgens het sluiten is helemaal niet moeilijk, want je kunt gewoon naar google gaan en van uit daar je page sluiten. Een link van google openen is namelijk binnen de regels en zodra je op google bent kun je met een user script ze gewoon sluiten. Daarmee is 1 command met ongeveer 10 script regels wel weer legaal te maken. Maar gaat het tribalwars team hier mee in zee om het wederom toe te staan. Ik denk dat ze zeggen afkeur en dan op regel 11 afkeuren.

Maar je zou 1 command ook op je eigen website kunnen na maken en op de zelfde manier de linkjes open schieten met alle informatie voor verzamelplaats mee geven. Maar omdat het op je eigen website is en alleen het openen is van linkjes met parameters mee gegeven zodat tribalwars weet wat je aan troepen wilt sturen of wat de coördinaten zijn. Deze manier valt totaal niet onder de regels. En is daarmee dus volledig buiten alle andere regels te doen. Dat betekend ook dat er een password op gezet mag worden zodat een scripter bepaald wie we toegang tot heeft. En de regels dus echt buiten spel staan voor het trbalwars team.

Daarom wil ik graag aan de leden van de danktank graag de volgende regel er bij introduceren.
Externe tools die interactie hebben met tribalwars en/of innogames dienen door het support team te worden goedgekeurd.
Alle tools die informatie van uit tribalwars gebruiken, ook als dit door middel van andere scripts naar een database gestuurd wordt, dienen gekeurd te worden door het support team.


Deze regels zou er voor moeten zorgen dat alle tools/scripts die buiten tribalwars om gemaakt worden en op welke manier ook info verkrijgen van uit het spel of interactie hebben, gekeurd horen te worden en het strafbaar maken als het support team sporen vinden die niet vooraf vermeld zijn. De regel zorgt er ook voor dat het support team eisen kan stellen aan tools buiten het spel die wel interactie hebben. Ik zie dat dan ook als een zeer open regel waar in het support team zelf de verantwoordelijkheid heeft om hier een goede afweging in bepaalde regels te maken. Waar in mijn idee vooral het beveiligen van prive tools onder valt. Als een scripter hier dan op gepakt wordt dat hij/zei dit doet om het script tot een bepaalde groep te limiteren, zorgt het er voor dat het tribalwars team acties kan ondernemen.

Dit is al eerder besproken in support door mij en is doen af gedaan door seppe als het mag prima achter een password. Helaas is informatie omtrent supports niet toegestaan hier, dus zal ik het bij alleen een ticket nummer voor seppe houden. (#14051857)

Ik hoop echt dat de denktank kan nadenken over die regels en ze eventueel in een andere context omschrijft, maar het doel van de regels wel omschrijft zoals hier boven de bedoeling is.
We zijn er ons bewust van in hoe verre scripts zoals 1Command herschreven kunnen worden of naar buiten TW getrokken kunnen worden. Maar met de huidige regels wordt het echte probleem van 1C wel aangepakt (zie verder), aanvalsplanners verder inperken is eigenlijk zeer moeilijk te doen binnen de script regels net omdat er zo veel buiten TW getrokken kan worden. Als hier nog verdere inperkingen op nodig zijn zal dit via innogames moeten verlopen, die zouden bijvoorbeeld de auto focus op aanvals knop kunnen weg halen of het onmogelijk kunnen maken om target / troepen via URL mee te geven, maar dit valt buiten de script regels.

Het probleem dat veel mensen met 1C (en gelijkaardige scripts) hebben is dat je makkelijk, snel en zonder je focus op TW te hebben aanvallen kan versturen. Je ziet dit in veel werelden (vooral zonder toren) waar er dagelijks gewoon een reeks fakes / clears wordt uitgestuurd om de tegenstander uit te putten. Zeer vaak wordt er iets anders gedaan tijdens het versturen, bijvoorbeeld een serie/film kijken of op de smartphone een spelletje spelen oid waardoor het voor de aanvaller zeer dragelijk is (en eigenlijk nauwelijks tijdverlies) terwijl de verdediger er lang zoet mee is.

Bij 1C wordt dit zeer eenvoudig gemaakt omdat er eigenlijk niks mis kan lopen, je moet maar 1 toets herhaaldelijk induwen en je hebt de garantie dat al je aanvallen op het einde zullen lopen, je moet er dus ook geen aandacht aan besteden. Met de nieuwe regels willen we eerder naar het afwisselen van op zijn minst 2 toetsen gaan (enter voor het versturen en control-W voor het sluitenvan de tab), waardoor die zekerheid weg valt, want het kan dan wel gaan voorkomen dat een aanval nog niet verstuurd is en je de tab al sluit (zeker als je ondertussen iets anders aan het doen bent). Of je moet het echt rustig aan doen, dan kan je ondertussen wel nog iets anders doen, maar dan stuur je op het einde ook minder aanvallen.

Zo wordt er in het mate van het mogelijke gezorgd dat random dagelijks veel aanvallen er uit gooien ontmoedigd wordt, maar het versturen van massa's waar je aandacht bij TW ligt is vanzelfsprekend niet de bedoeling.

Als we dan komen tot je voorstel voor toevoeging, het staat dan niet letterlijk zo opgenomen in de regels, maar eigenlijk is wat je zegt gewoon van kracht (nu al en in de toekomst dus ook). Elk script (of dat nu snellijst, user, programma,... is maakt niet uit) dat interactie heeft met ingame TW valt onder de scriptregels en moet gekeurd worden. Er valt nog wat te zeggen over wat het woord "interactie" inhoud, enkele voorbeelden:
  • Een URL openen wordt in principe niet gezien als interactie, aangezien er enkel een pagina wordt geopend
  • Informatie ingame ophalen (op welke manier dan ook) is een interactie
  • Een actie uitvoeren ingame is een interactie
  • Reageren op iets dat ingame gebeurd is een interactie
Wat wachtwoorden op externe sites / programma's betreft kunnen we niet anders dan dat toelaten, ze vallen nu eenmaal niet onder de scriptregels omdat dit niet mogelijk is. Van zodra er echter een bijhorend ingame script is dat communiceert met de externe site (of server / database) ligt dit anders, de regels (zowel de huidige als de nieuwe) zeggen namelijk dat wanneer een script in iemand anders zijn handen valt dit volledig moet werken. Wanneer het script communiceert met een externe pagina en die pagina geeft enkel naar bepaalde spelers een response werkt bij voorbaat het script niet meer en is het dus ook niet toegestaan. Concrete voorbeelden:
  • Een aanvalsplanner waar je handmatig de coords in plakt en dat geen rechtstreekse communicatie heeft met een ingame script mag achter een wachtwoord gezet worden.
  • Bij een script zoals TBRmap dat berichten opslaat in een database op een server door deze berichten ingame met een script naar daar te sturen mag het server gedeelte niet achter een wachtwoord worden gezet. Het geheel dient namelijk te werken voor iedereen die het script in handen krijgt.
In het verleden was het toegestaan om scripts slechts werkend te maken voor 1 wereld, omwille van server kosten en omdat de eerlijkheid gewaarborgd wordt (als je vijand het script in handen krijgt zal het voor hun werken). Of we dit in de toekomst houden moet nog besproken worden (deze gooi ik nog even op in de denktank), persoonlijk lijkt me dat het meteen overal moet werken aangezien na 6 maanden dit toch zal moeten...
 
Reactiescore
95
Beste Warre,

Ik heb op meerdere vlakken het idee dat je 2 kanten spreekt, zo wel met de regels mee als tussen de regel door de ruimte prima weet te vinden. Daarom zal ik maar gewoon er uitgooien waarom ik dit vindt en waarom ik vindt dat dit een slechte zaak is. Zie die niet als een mod proberen te plagen, want de rol die je hebt bij het tribalwars team is pas hier na gekomen en heb ik verder niks op aan te merken.

Om te beginnen wil ik graag seppe bedanken voor het toegeven op discord dat hij een fout heeft gemaakt in het verleden, maar deze graag wil herstellen met deze regels en er beter op zal letten. Daar ben ik enorm blij mee en denk ook zeker dat hij deze woorden meende en er echt beter op zal letten. Maar ik hoop ook dat hij dit goed wil mee nemen zodat het erg duidelijk is wat hier gaande is en waarom ik vindt dat die regels wel degelijk kunnen gereguleerd worden.

De regels zijn nog niet publiek, maar heb al begrepen dat het geen waterdichte bak is, meer een vergiet. De regels zoals in het begin zijn aangekondigd zijn om meerdere redens terug gehaald en worden dus nu vermoedelijk weer net zo als ze waren met kleine aanpassingen terug geplaatst.

Elk script (of dat nu snellijst, user, programma,... is maakt niet uit) dat interactie heeft met ingame TW valt onder de scriptregels en moet gekeurd worden. Er valt nog wat te zeggen over wat het woord "interactie" inhoud, enkele voorbeelden:
  • Een URL openen wordt in principe niet gezien als interactie, aangezien er enkel een pagina wordt geopend
  • Informatie ingame ophalen (op welke manier dan ook) is een interactie
  • Een actie uitvoeren ingame is een interactie
  • Reageren op iets dat ingame gebeurd is een interactie
  • Een URL openen wordt in principe niet gezien als interactie, aangezien er enkel een pagina wordt geopend
Waarom zou een url openen met informatie geen interactie met het spel zijn ? Je opent immers een pagina binnen de game. Dat vindt ik toch zeker wel onder interactie vallen. Maar hoe je het ook wend of keert een url openen zou dus toegestaan zijn.

Dus het is voortaan dus toegestaan om auto munten te slaan, want dat kan dus gewoon met een url. De button is zo gemaakt dat het gewoon mogelijk is om een button click in de url mee te geven zoals in dit kleine voorbeeld die het voor niet scripter te testen valt.

De normale url zonder een clik
http://output.jsbin.com/enuhox/1

De link die het alvast voor je doet
http://jsbin.com/enuhox/1#click_approved

Zie dit voorbeeldje dus maar als de button in je adelshove. Dus je kunt gewoon een auto openen van een url vanaf je website maken die dit op die manier de button 1x aan klikt. En het is prima mogelijk om dan het huidige tab te sluiten of gewoon opnieuw te gebruiken. Beide keren valt het dus binnen de regels want het is een url en die vallen buiten de regels zoals je hier zelf benoemd. Dit zelfde grapje kan natuurlijk ook met de off buttons en is dus gewoon nog simpeler om aanvallen te versturen. Want een timeout op je eigen server is toegestaan dus timen van aanvallen is dus ook toegestaan.

En omdat ik weet waarom Warre graag de url buiten wil behouden en dus met zoon post komt, dat is omdat hij zelf een webiste heeft die achter password zit. Waar een erg goede aanvals tool achter zit. Door die regels hier boven in te voeren voorkom je dat dit soort scripts legaal blijven en alleen als het tribalwars support team het wil toestaan dat het dan legaal is. Dat zou vermoedelijk inhouden dat er geen password op mag zitten. Maar goed dat is aan het support team dan. De walk planner van Warre is een tool die via de url de basis gegevens van je aanval mee stuurt, zodat je zo min mogelijk dingen nog hoeft te doen. Dus als 1 command weg valt en alle user scripts. Dan is zijn tool in ex de beste off tool die er is en notabene achter een password gezet zodat hij kan bepalen die het mag gebruiken. En het tribalwars team kan daar niks tegen doen?

Daarom is die regel zo belangrijk om hem wel in te voeren. Niet omdat we daar geen uitzonderingen op mogen hebben, maar om dit soort tools zoals de walk planner niet vrij spel te geven, maar aan het tribalwars team de gelegenheid te geven om sancties hier tegen op te treden. Want het nummer 1 ding wat de meeste spelers juist goed vinden van deze regel wijziging is dat prive script na 6 maand publiek zijn. En dat er dus geen pw mag gebruikt worden.

De voordelen van die regels in te voeren is dus dat Walk planner, maar ook TBRm(niet TBRmap, echt ander script zelfde naam) gewoon illegaal zijn mits support je toestemming geeft. Daar mee kunnen ze dus ook eisen stellen aan de tool die gebruikt wordt.


Maar ook het voorbeeld van TBRmap wat warre noemt, wilde ik met de andere regel beperken. Want we kunnen natuurlijk ook gewoon door een simpel script bijvoorbeeld een troop counter de informatie van de page rippen en als zijnde tool zeggen upload dit naar de database. Dit mag gewoon want ook vault doet dit ook. Dat wil inhouden dat je van uit die database voor een prive tool ook info kan ontnemen zonder dat tribalwars hier van op de hoogte is. Dan nog niet eens over het eventuele misbruik te spreken, maar enkel over de voordeel. Je kunt dan je eigen prive tool voorzien van ingame informatie via een ander toegestaan script en je eigen tool hiermee uitrusten.

Dit zou dus ook gebruikt kunnen worden om via url info mee te sturen en zelfs via ajax aanvallen te laten sturen. Want de atack button en de vp kun je prima met script dat doen. En omdat je daarvoor een stilstaande page nodig bent als uitvoer page voor de ajax is dat prima te doen. Voor het url script heb je alleen de csrf_token nodig. Een soort handteking om te ondertekenen om de actie uit te voeren. En die kan dus gewoon legaal met het andere script mee gestuurd worden naar de database. Dus wederom weer een manier om op een niet wenselijke manier de scripts niet te kunnen gebruiken.

Externe tools die interactie hebben met tribalwars en/of innogames dienen door het support team te worden goedgekeurd.
Alle tools die informatie van uit tribalwars gebruiken, ook als dit door middel van andere scripts naar een database gestuurd wordt, dienen gekeurd te worden door het support team.


Die regels zorgen er voor dat het support uit haar eigen keuze scripts kan reguleren die urls gebruiken en dus ook strafbaar maken om info via een ander script vergregen te gebruiken. Het controleren is lastig als scripts naar de zelfde database gaan, maar de urls kunnen wel degelijk door duckje gecontroleerd worden. Dat is ook 1 van de redenen waarom 1 command Onex en One y in de url heeft. Hier mee kan innogames best makkelijk zien dat 1 command is gebruikt. Voor 1 command is wel meer controle mogelijk, maar dat ga ik hier niet uitleggen, dat weet seppe zelf heel goed en dat kan beter geheim blijven.

Dus de reden waarom Warre er tegen is is gewoon vrij duidelijk te zien. Hij wil liever dat zijn eigen script wel mag blijven. Maar alle andere scripts worden wel verboden en moeten we omzetten. Als we Walkplanner vergelijk met fodox dan zit er in fodox veel meer kliks dan in walkplanner. Dus in het gebruik is walk planner een stuk fijner dan dat wij allemaal weer naar fodox moeten.

Dus de bovenstaande suggestie tot het toevoegen van deze regels is, is geheel om het tribalwars team meer recht te geven buitenstaande tools te willen inzien en te controleren. Uitzonderingen worden toch wel gemaakt en dat moet ook zeker het geval blijven. Maar we zorgen er wel mee dat de externe tools meer controle op is. En het handhaven is echt niet een groot probleem want als je parameters mee stuurt dan zijn die zichtbaar en als daar een gep patroon in zit die niet door het tribalwars team is toegelaten, dan kunnen ze van uit daar op bannen.

Het is dus echt een verbetering en een goede stop tegen buitenstaande scripts die via de linkjes de regels willen omzeilen. En zou ook enorm graag een reactie hier op van uit @Duckje willen krijgen wat hij hier als CM er van vindt en zou ook heel graag van hem willen weten wat hem brent tot een bepaalde gedachte en uitspraak.

Ook hoop ik dat andere spelers eens willen na denken over om deze regels er aan toe te voeggen. Want ook hun gedachte is van belang bij een grote verandering van de script regels, want de denk tank is niet meer als mods met 5 andere spelers en goed iedereen had de kans om mee te mogen doen, maar uit eindelijk is het wel van belang dat beslissingen worden genomen van uit een groot deel van de player base en niet 5 spelers en de mods.

Groet justin
 
Reactiescore
135
Er staat letterlijk code op die website om die specifieke URL parameter te laten werken tho?

Code:
<script>
if(document.URL.indexOf("#click_approved") >= 0){
document.getElementById('approved_btn').click();
}
</script>
als TW dit niet zelf aanbiedt heb je dus een script nodig om iets te doen via de URL en dat moet toch gewoon gekeurd worden? :p Dit kan dus niet zomaar voor alles he, not sure waarom je mensen probeert bang te maken
 

Warre

Teamleden
Tribal Wars Team
Reactiescore
946
Beste Warre,

Ik heb op meerdere vlakken het idee dat je 2 kanten spreekt, zo wel met de regels mee als tussen de regel door de ruimte prima weet te vinden. Daarom zal ik maar gewoon er uitgooien waarom ik dit vindt en waarom ik vindt dat dit een slechte zaak is. Zie die niet als een mod proberen te plagen, want de rol die je hebt bij het tribalwars team is pas hier na gekomen en heb ik verder niks op aan te merken.

Om te beginnen wil ik graag seppe bedanken voor het toegeven op discord dat hij een fout heeft gemaakt in het verleden, maar deze graag wil herstellen met deze regels en er beter op zal letten. Daar ben ik enorm blij mee en denk ook zeker dat hij deze woorden meende en er echt beter op zal letten. Maar ik hoop ook dat hij dit goed wil mee nemen zodat het erg duidelijk is wat hier gaande is en waarom ik vindt dat die regels wel degelijk kunnen gereguleerd worden.

De regels zijn nog niet publiek, maar heb al begrepen dat het geen waterdichte bak is, meer een vergiet. De regels zoals in het begin zijn aangekondigd zijn om meerdere redens terug gehaald en worden dus nu vermoedelijk weer net zo als ze waren met kleine aanpassingen terug geplaatst.



  • Een URL openen wordt in principe niet gezien als interactie, aangezien er enkel een pagina wordt geopend
Waarom zou een url openen met informatie geen interactie met het spel zijn ? Je opent immers een pagina binnen de game. Dat vindt ik toch zeker wel onder interactie vallen. Maar hoe je het ook wend of keert een url openen zou dus toegestaan zijn.

Dus het is voortaan dus toegestaan om auto munten te slaan, want dat kan dus gewoon met een url. De button is zo gemaakt dat het gewoon mogelijk is om een button click in de url mee te geven zoals in dit kleine voorbeeld die het voor niet scripter te testen valt.

De normale url zonder een clik
http://output.jsbin.com/enuhox/1

De link die het alvast voor je doet
http://jsbin.com/enuhox/1#click_approved

Zie dit voorbeeldje dus maar als de button in je adelshove. Dus je kunt gewoon een auto openen van een url vanaf je website maken die dit op die manier de button 1x aan klikt. En het is prima mogelijk om dan het huidige tab te sluiten of gewoon opnieuw te gebruiken. Beide keren valt het dus binnen de regels want het is een url en die vallen buiten de regels zoals je hier zelf benoemd. Dit zelfde grapje kan natuurlijk ook met de off buttons en is dus gewoon nog simpeler om aanvallen te versturen. Want een timeout op je eigen server is toegestaan dus timen van aanvallen is dus ook toegestaan.

En omdat ik weet waarom Warre graag de url buiten wil behouden en dus met zoon post komt, dat is omdat hij zelf een webiste heeft die achter password zit. Waar een erg goede aanvals tool achter zit. Door die regels hier boven in te voeren voorkom je dat dit soort scripts legaal blijven en alleen als het tribalwars support team het wil toestaan dat het dan legaal is. Dat zou vermoedelijk inhouden dat er geen password op mag zitten. Maar goed dat is aan het support team dan. De walk planner van Warre is een tool die via de url de basis gegevens van je aanval mee stuurt, zodat je zo min mogelijk dingen nog hoeft te doen. Dus als 1 command weg valt en alle user scripts. Dan is zijn tool in ex de beste off tool die er is en notabene achter een password gezet zodat hij kan bepalen die het mag gebruiken. En het tribalwars team kan daar niks tegen doen?

Daarom is die regel zo belangrijk om hem wel in te voeren. Niet omdat we daar geen uitzonderingen op mogen hebben, maar om dit soort tools zoals de walk planner niet vrij spel te geven, maar aan het tribalwars team de gelegenheid te geven om sancties hier tegen op te treden. Want het nummer 1 ding wat de meeste spelers juist goed vinden van deze regel wijziging is dat prive script na 6 maand publiek zijn. En dat er dus geen pw mag gebruikt worden.

De voordelen van die regels in te voeren is dus dat Walk planner, maar ook TBRm(niet TBRmap, echt ander script zelfde naam) gewoon illegaal zijn mits support je toestemming geeft. Daar mee kunnen ze dus ook eisen stellen aan de tool die gebruikt wordt.


Maar ook het voorbeeld van TBRmap wat warre noemt, wilde ik met de andere regel beperken. Want we kunnen natuurlijk ook gewoon door een simpel script bijvoorbeeld een troop counter de informatie van de page rippen en als zijnde tool zeggen upload dit naar de database. Dit mag gewoon want ook vault doet dit ook. Dat wil inhouden dat je van uit die database voor een prive tool ook info kan ontnemen zonder dat tribalwars hier van op de hoogte is. Dan nog niet eens over het eventuele misbruik te spreken, maar enkel over de voordeel. Je kunt dan je eigen prive tool voorzien van ingame informatie via een ander toegestaan script en je eigen tool hiermee uitrusten.

Dit zou dus ook gebruikt kunnen worden om via url info mee te sturen en zelfs via ajax aanvallen te laten sturen. Want de atack button en de vp kun je prima met script dat doen. En omdat je daarvoor een stilstaande page nodig bent als uitvoer page voor de ajax is dat prima te doen. Voor het url script heb je alleen de csrf_token nodig. Een soort handteking om te ondertekenen om de actie uit te voeren. En die kan dus gewoon legaal met het andere script mee gestuurd worden naar de database. Dus wederom weer een manier om op een niet wenselijke manier de scripts niet te kunnen gebruiken.

Externe tools die interactie hebben met tribalwars en/of innogames dienen door het support team te worden goedgekeurd.
Alle tools die informatie van uit tribalwars gebruiken, ook als dit door middel van andere scripts naar een database gestuurd wordt, dienen gekeurd te worden door het support team.


Die regels zorgen er voor dat het support uit haar eigen keuze scripts kan reguleren die urls gebruiken en dus ook strafbaar maken om info via een ander script vergregen te gebruiken. Het controleren is lastig als scripts naar de zelfde database gaan, maar de urls kunnen wel degelijk door duckje gecontroleerd worden. Dat is ook 1 van de redenen waarom 1 command Onex en One y in de url heeft. Hier mee kan innogames best makkelijk zien dat 1 command is gebruikt. Voor 1 command is wel meer controle mogelijk, maar dat ga ik hier niet uitleggen, dat weet seppe zelf heel goed en dat kan beter geheim blijven.

Dus de reden waarom Warre er tegen is is gewoon vrij duidelijk te zien. Hij wil liever dat zijn eigen script wel mag blijven. Maar alle andere scripts worden wel verboden en moeten we omzetten. Als we Walkplanner vergelijk met fodox dan zit er in fodox veel meer kliks dan in walkplanner. Dus in het gebruik is walk planner een stuk fijner dan dat wij allemaal weer naar fodox moeten.

Dus de bovenstaande suggestie tot het toevoegen van deze regels is, is geheel om het tribalwars team meer recht te geven buitenstaande tools te willen inzien en te controleren. Uitzonderingen worden toch wel gemaakt en dat moet ook zeker het geval blijven. Maar we zorgen er wel mee dat de externe tools meer controle op is. En het handhaven is echt niet een groot probleem want als je parameters mee stuurt dan zijn die zichtbaar en als daar een gep patroon in zit die niet door het tribalwars team is toegelaten, dan kunnen ze van uit daar op bannen.

Het is dus echt een verbetering en een goede stop tegen buitenstaande scripts die via de linkjes de regels willen omzeilen. En zou ook enorm graag een reactie hier op van uit @Duckje willen krijgen wat hij hier als CM er van vindt en zou ook heel graag van hem willen weten wat hem brent tot een bepaalde gedachte en uitspraak.

Ook hoop ik dat andere spelers eens willen na denken over om deze regels er aan toe te voeggen. Want ook hun gedachte is van belang bij een grote verandering van de script regels, want de denk tank is niet meer als mods met 5 andere spelers en goed iedereen had de kans om mee te mogen doen, maar uit eindelijk is het wel van belang dat beslissingen worden genomen van uit een groot deel van de player base en niet 5 spelers en de mods.

Groet justin
Persoonlijk apprecieer ik wel grote posts met veel uitleg en cases, we hadden dit soort inbreng zeker en vast kunnen gebruiken in de denktank. Uiteraard is deze feedback ook welkom buiten de denktank, dat is waarom ik bij je vorige post ook de tijd heb genomen om uitgebreid te reageren.

Dat je als reactie op mijn post mij zo persoonlijk aanvalt en heel de community wilt doen geloven dat ik als moderator de nieuwe scriptregels probeer te beïnvloeden voor eigen gewin begrijp ik echter totaal niet, dit doet de kracht van je post namelijk enkel maar afnemen... Aan deze beschuldigingen ga ik dan ook niet veel woorden vuil maken, het enige wat ik er over te zeggen heb is het volgende: Eerder in dit topic kondigde ik reeds aan dat van zodra de nieuwe regels in gaan ik al mijn scripts publiek zal maken, inclusief externe pagina's (zoals de Walk Planner), niet omdat het moet maar omdat ik dat zelf wil.

Inhoudelijk ingaande op je post:

Zoals in mijn vorige post reeds gezegd staat jouw voorstel niet letterlijk in de regels maar wordt dit eigenlijk sowieso toegepast. Binnen de TW regels is het namelijk zo dat alle scripts die interactie hebben met TW onder de script regels vallen en daar dus aan moeten voldoen / gekeurd moeten worden. De toevoeging is in die zin dus gewoon onnodig... Het enige wat in vraag getrokken kan worden is "Wat valt er onder interactie"...

Dan komen we tot je voorbeeld code waarmee je je case probeert te staven, zoals @ixfuryanix hier boven al aan geeft werkt dit alleen omdat de pagina zelf een specifieke code (javascript) bevat. Dat stuk code in het voorbeeld is de "interactie", niet de URL zelf. De enige manier om dit bij TW mogelijk te maken is door die code in de snellijst te plaatsen (en automatisch uit te voeren), per definitie dient deze code dan ook goedgekeurd te worden en aan de spelregels te voldoen.

Dat maakt al meteen dat je uitspraak "Want de atack button en de vp kun je prima met script dat doen." onwaar, aangezien dat script zou moeten klikken op aanvallen/ondersteunen en dat is expliciet verboden in de regels. Bij andere knoppen (of links) is dit niet expliciet verboden, maar dat wilt niet zeggen dat als zo een stuk code binnen komt voor keuring we het blind gaan goedkeuren zonder ons af te vragen wat de scripter er mee van plan is of hoe de regels er mee omzeild kunnen worden... Dit is meteen ook waarom er in de regels staat dat scripts ook afgekeurd kunnen worden zelfs al voldoen ze strikt aan alle regels.

Het is begrijpelijk dat mensen (en in dit geval vooral scripters) op zoek gaan naar de grenzen en proberen om de regels te omzeilen, zelf heb ik dit ook al meermaals gedaan omdat het gewoon leuk is, maar uiteindelijk wint niemand daar iets bij... Nu is het mijn taak om anderen die dat proberen te stoppen voor ze er in slagen, wilt dat per definitie zeggen dat het nooit zal gebeuren? Neen, veel mensen denken misschien dat ik een robot ben maar uiteindelijk ben ik ook maar menselijk natuurlijk ;) De hulp van andere scripters is dus meer dan welkom, cases die mogelijk tot problemen zouden kunnen leiden mogen altijd (prive) aangebracht worden!
 
Reactiescore
95
Er staat letterlijk code op die website om die specifieke URL parameter te laten werken tho?

Code:
<script>
if(document.URL.indexOf("#click_approved") >= 0){
document.getElementById('approved_btn').click();
}
</script>
als TW dit niet zelf aanbiedt heb je dus een script nodig om iets te doen via de URL en dat moet toch gewoon gekeurd worden? :p Dit kan dus niet zomaar voor alles he, not sure waarom je mensen probeert bang te maken
Correct het voorbeeld is erg simpel, maar de zelfde methode werkt voor tw ook gewoon. Daarom heb ik gezocht naar een voorbeeld die het tastbaar maakt. Ook wil ik niet die methode niet op het forum weg geven zodat het door spelers kan misbruikt worden.

" als TW dit niet zelf aanbiedt heb je dus een script nodig om iets te doen via de URL en dat moet toch gewoon gekeurd worden? :p Dit kan dus niet zomaar voor alles he, not sure waarom je mensen probeert bang te maken "

Dit is dus binnen tw wel te doen en via een url te activeren. Dus de reden om het wel door het tribalwars team als controle punt in de regels te zetten is alleen maar handig. Daarbij is het niet mijn bedoeling om mensen bang te maken, sterker nog ik probeer de nieuwe regels juist te verbeteren en hierdoor juist het trbalwars team het recht te geven om dit soort tools tegen te houden. Want zou jij het eerlijk vinden als een groepje spelers wel toegang heeft tot dit en de andere spelers hun scripts worden afgepakt en echt alles handmatig mogen gaan doen?

Dat maakt al meteen dat je uitspraak "Want de atack button en de vp kun je prima met script dat doen." onwaar, aangezien dat script zou moeten klikken op aanvallen/ondersteunen en dat is expliciet verboden in de regels.
Klopt scripts moeten echt klikken, maar je zou prima met een opgebouwde url en het csrf_token kunnen gaan werken. Die je verkrijgt via een ander script Door bv de gehele page op te sturen naar je server en hem daar er uit te filteren. En zo script komt daar gerust mee weg en achteraf weet je niet waar het weg komt.

Daarom vindt ik het juist een erg belangrijke om daar echt over te denken en regels zo te buigen dat die gaten dicht gehouden worden. Daarbij zijn de regels die ik bedacht heb zeer open en is het aan het support team als ze het wille toestaan. Dus als scripts op een goede en eerlijke manier gebruik maken van urls worden ze dus niet buiten gesloten. Maar de bot achtige scripts worden hiermee wel makkelijker te bannen.
 

Warre

Teamleden
Tribal Wars Team
Reactiescore
946
Correct het voorbeeld is erg simpel, maar de zelfde methode werkt voor tw ook gewoon. Daarom heb ik gezocht naar een voorbeeld die het tastbaar maakt. Ook wil ik niet die methode niet op het forum weg geven zodat het door spelers kan misbruikt worden.

" als TW dit niet zelf aanbiedt heb je dus een script nodig om iets te doen via de URL en dat moet toch gewoon gekeurd worden? :p Dit kan dus niet zomaar voor alles he, not sure waarom je mensen probeert bang te maken "

Dit is dus binnen tw wel te doen en via een url te activeren. Dus de reden om het wel door het tribalwars team als controle punt in de regels te zetten is alleen maar handig. Daarbij is het niet mijn bedoeling om mensen bang te maken, sterker nog ik probeer de nieuwe regels juist te verbeteren en hierdoor juist het trbalwars team het recht te geven om dit soort tools tegen te houden. Want zou jij het eerlijk vinden als een groepje spelers wel toegang heeft tot dit en de andere spelers hun scripts worden afgepakt en echt alles handmatig mogen gaan doen?



Klopt scripts moeten echt klikken, maar je zou prima met een opgebouwde url en het csrf_token kunnen gaan werken. Die je verkrijgt via een ander script Door bv de gehele page op te sturen naar je server en hem daar er uit te filteren. En zo script komt daar gerust mee weg en achteraf weet je niet waar het weg komt.

Daarom vindt ik het juist een erg belangrijke om daar echt over te denken en regels zo te buigen dat die gaten dicht gehouden worden. Daarbij zijn de regels die ik bedacht heb zeer open en is het aan het support team als ze het wille toestaan. Dus als scripts op een goede en eerlijke manier gebruik maken van urls worden ze dus niet buiten gesloten. Maar de bot achtige scripts worden hiermee wel makkelijker te bannen.
Als je een concreet voorbeeld hebt van een situatie waar dit een probleem op kan leveren mag je me privé contacteren met een duidelijke uitleg of een werkende snippet, op die manier kunnen we kijken of er veranderingen nodig zijn maar dient het idee / de code niet openbaar gemaakt te worden.