Änderung: "www" ab sofort ungültig

Begonnen von Xeridar, 06. August 2011, 21:58:37

« vorheriges - nächstes »

kaefer

aber im cookie wirds dafür als md5 gespeichert....bisschen komisch ^^
Arthoria++

Eine kleine (ok - mittlerweile größere) Erweiterung für Arthoria, die nützliche Quicklinks einbaut. Hier wird alles haarklein erklärt:

http://arthoria-plus.bplaced.net

TheLightPrince

Zitat von: Elandion am 08. August 2011, 22:12:51
TLP schau mal deine eMails an, da sollte eine von Arthoria von Vorgestern drin sein.
Dann wirst du deine Meinung bei Punkt 2) wohl ändern müssen

wtf, ftw oO ich glaubs hackt ... iwie gehört da ja echt mal jmd mit ahnung hin, der die db hackt und xeri mal aufzeigt was das für ne schei** ist... dann bliebe nur zu hoffen er hat bei seinem server nicht die selben Passwörter wie in arthoria ^^

finde ich ganz schön frech!!

@elandion danke dir.

Lg TLP
WINGED GODS

Xeridar

Ich möchte anmerken, dass jemand, der tatsächlich an die Passwörter ran käme, sie garnicht mehr brauchen würde, um eure Accounts einzusehen oder zu ändern.

TheLightPrince

Das stimmt so nicht und das weißt du auch.
WINGED GODS

Xeridar

#19
Doch natürlich stimmt das.

Ich kann alle Informationen über deinen Account rausfinden die ich wissen will und ich kann alles an deinem Account ändern - ohne dein Passwort.
Warum kann ich das? Weil ich Zugriff auf die Datenbank habe.
Wie könnte man an die Passwörter kommen? Indem man irgendwie Zugriff auf die Datenbank bekommt, um sie dort auszulesen.

LiatH

Öhm welche Email btw?
En paar andere und ich hab zB keine bekommen...*nur mal anmerken will*^^
Wenn Gott mich anders gewollt hätte; dann hätte er mich anders gemacht.
Johann Wolfgang von Goethe

Thrasher

Nein. Ich übertrage die PW nich als Klartext. Nen Hash-Wert is die denkbar einfachere Methode oder?

TheLightPrince

Zitat von: Xeridar am 09. August 2011, 01:35:59
Doch natürlich stimmt das.

Ich kann alle Informationen über deinen Account rausfinden die ich wissen will und ich kann alles an deinem Account ändern - ohne dein Passwort.
Warum kann ich das? Weil ich Zugriff auf die Datenbank habe.
Wie könnte man an die Passwörter kommen? Indem man irgendwie Zugriff auf die Datenbank bekommt, um sie dort auszulesen.

richtig, aber die datenbank AUSLESEN und die Datenbank ÄNDERN ist für einen angreifer ein kleiner, aber doch relevanter unterschied.

Du kannst bei mir alles ändern weil du vollzugriff hast. wollte ein Angreifer den selben zugriff haben müsste er deinen server bzw zumindest den dbserver hacken.
Bei deiner konstelation, die PWs im klartext zu speichern, reicht ein kleiner fehler iwie in diener programmierung um die PWs auszulesen und dann in den entsprechenden acc reinzukönnen.

das nen himmelweiter unterschied...

Lg TLP

@Thrasher bei deinen projekten oder wie? das heißt du hast kein einfaches formular welches abgesendet wird und dann auf dem server ausgewertet wird? sondern du wandelst erst das pw auf dem clientrechner um in einen hash und schickst dann den? ;) dann respekt... wütrde mal sagen das machen die wenigsten so :D da ist es auch eher üblicher dann https zu verwenden. dann haste ne vollverschlüsslung der verbindung und musst net mit java oder js iwas tricksen.
WINGED GODS

Voltan

Ich frage mich, was daran so schlimm sein soll, wenn eure Passwörter für die bösen bösen Hacker sichtbar sind?
Datensicherheit in allen ehren, aber was soll an eurem Passwort so besonders sein? Wenn man nicht für jede Seite ein anderes Passwort nimmt, ist man selbst schuld. Für die eigene Datensicherheit sorgt man größtenteils noch selbst.
Wenn ihr um eure e-Mail-Adressen bangt: wieso habt ihr keine Spam-Mail-Adressen? Wäre doch die optimale Sicherheit  ::)

Wenn ihr mit dem Klartexteintrag (ich habe übrigens auch keine Mail diesbezüglich bekommen) nicht einverstanden seid, löscht euch doch einfach.. dann landen die Daten nach 2 Wochen restlos im Datennirvana.

Und ob ein Cracker nun die DB auslesen oder gar ändern könnte, ist im Endeffekt sowieso Hupe. Cracker sind auf die maximale Zerstörung aus. Und das dürfte dann nicht nur die DB sein..
Und wieso sollten "normale" Hacker die Datenbank auslesen wollen? Was hätten sie davon?

Valdar

Zitat von: Voltan am 09. August 2011, 16:55:21
Und ob ein Cracker nun die DB auslesen oder gar ändern könnte, ist im Endeffekt sowieso Hupe. Cracker sind auf die maximale Zerstörung aus. Und das dürfte dann nicht nur die DB sein..
Und wieso sollten "normale" Hacker die Datenbank auslesen wollen? Was hätten sie davon?

wir reden hier ja eher nich von Lulzsec :D Es kann ja auch jmd sein, der sich Items ercheaten will oder anderen (bestimmten) Spielern schaden will. Oder jmd, der neugierig is, was der Xeri-Acc so alles kann... Motive lassen sich genügend finden für alles mögliche.
"So make sure you love like you've never been hurt
and when you dance, dance like there's no one watching you" - Alexisonfire (get fighted)

Voltan

#25
Don´t confuse with Lulz..

Wenns nur um das Ercheaten von Items oder das Schädigen div. Spieler ginge, ließe sich das alles nachverfolgen..
ich könnte meinen Arsch darauf verwetten, dass Xeri tägliche Backups macht, die sich nach einer Woche wieder überschreiben (und das ggf. mit regelmäßigem Backup auf seinem Homeserver/Privatrechner). Da andere Spieler /der betroffene Spieler das wohl merken, wenn was mit demjenigen/sich selbst nicht stimmt, wird wohl eine Nachricht bei Xeri eingehen, der dann anhand des Backups und genauer Untersuchung des Falles eben jene Dinge mitkriegt und sich auf die Suche nach dem Bösewicht macht. Außerdem wird sich Xeri wohl des öfteren über die Konsole einloggen.. dort wird nach jedem Userlogin das letzte Login angezeigt.. Außerdem kann man Login-Logs erstellen.

Aber was nützt diese Diskussion? Es gibt etwas, an was keiner denkt: Wenn ich einmal Zugriff auf die Datenbank habe (und davon war nie die Rede, sondern nur von Klartextpasswörter IN der Datenbank), kann ich mir die Prüfsumme schnappen und mich anstatt von Name/Passwort einfach mit dem Hash anmelden..

Wenn jemand Zugriff auf den Root (oder im seichten Falle auf die DB) kriegt ist sowieso Polen offen. Da kann man getrost auf Klartexte in der DB scheißen..

Mborrak

hm, da ja gerade ne expertenrunde tagt, können meine fragen sicher kompetent beantwortet werden:

1. was haben die spiel-account pw mit dem db-server login zu tun?
2. nutzt ihr facebook? da werden die passwörter auch im klartext geschickt, ist einfach ein POST request zur einer SSL seite.
3. ich mag arthoria, spiele es gern, sehr gern sogar. aber sicherheitsrelevant ist es nicht.

freu mich auf feedback :)


nazrek

Mehr noch als ich darüber erstaunt bin, dass die Klartextpasswörter allen egal sind, bin ich darüber erstaunt dass sich der Herr Admin noch immer nicht zu der Frage geäußert hat, was denn das abschlaten von "www." für Vorteile bringen soll.

nazrek

Zitat von: Voltan am 09. August 2011, 19:10:40
Da kann man getrost auf Klartexte in der DB scheißen..
Was mich persönlich stört ist, dass die (dummen & armen) User (auch DAU genannt), welche das Passwort auch als ihr Email und Banking Passwort verwenden Schäden davon tragen können, die mit der einfachen Maßnahme des Hashens der Passwörter ein bisschen eingedämmt werden könnten.

Mborrak

#29
das abschalten der tld kann in gewissen netzwerkkonfigurationen laggs vermeiden.

und wenn man so blöd ist für ein SPIEL das gleiche pw zu nehmen wie für die alarmanlage, das bankkonto, etc. ... hm naja dann sorry - aber wir leben nun mal in einer welt in der man das NICHT tun darf.

[edit]
aber im grunde genommen hast du recht, man sollte versuchen den user vor sich selbst zu schützen.
im nachhinein aber das system umstellen ist aber sehr mühsam. viele apps übertragen die logindaten von einer unsecured site aus (post) ... wie die daten dort gespeichert sind kannst nur raten.
vlt. rufst mal probeweise deinen handybetreiber an und stellst ne frage zu deinem account - meist fragen sie dann nach deinem kundenkennwort ... nun frage ich mich wo die das auslesen?

[/edit]