Gamers-Corner
News und Infos für Besser-Gamer
Kategorien:
Monatliche Beiträge:
Kommentare
-
Abenisa: Das Strategie Browsergame Abenisa ist zu empfehlen, ohne kaufbare spielerische Vorteile, spielt im...
Alexander: So wie sich das anhört könnte das auch ein gutes Spiel werden und dann kann ich wieder eine...
Alexander: Bei dem Spiel gibt es nur eines. Entweder du magst es oder du lässt es! Schön, die Grafik ist nicht gerade...
Browsersim: Verstehe ich nicht so wirklich. Ihr schreibt doch auch News über andere Spiele.
unbekannt: Spiele seit einiger Zeit beim Online-Spiel Farmerama (Bigpoint) mit. Auch dort mischt SponsorPay mit....
Olaf: Ich halte das Playstation-Move Prinzip für überschätzt, es ist wohl besser als die Wii-Variante, aber ich würde...
Mahjong Shanghai: Also ich lasse dann wohl lieber Starcraft II anstatt meinen Virenscanner abzuschalten und man muss...
Verias: Codename Inifnity (http://www.codename-infinity. org) ist auch ein schönes Spiel. Guckt euch das mal an.
Mike: Lost Word ist definitv einer meiner momentanen Favoriten. In erster Linie, weil man nicht sofort auf die Fresse...
Perv: Lost Worlds bietet einen stetig wachsende Community. Es herrscht gute aktivität im Forum, IRC und im Spiel....
Aktuelles
-
The Pimps das neue Browsergame von Bigpoint
Spiele die beliebtesten Browsergames von Upjers kostenlos in deinem Browser
Weitere Seiten
- Browsergames
- Gold für WoW kaufen
- Interface Addons
- Kostenlos Poker spielen
- MMORPG
- online games
- Spielemagazin
Klartext-Passwörter beim Einloggen
geschrieben von Chefred | Kategorie(n): Allgemein, OGame
|
Die neue Startseite von OGame hat ein dickes Sicherheitsproblem. Beim Abschicken der Daten (also beim Klick auf den Login-Button) werden unter anderem die Passwörter (aber auch der Username usw.) im Klartext angezeigt. Die entsprechende URL, die kurzfristig zum Login aufgrufen wird ist nach folgendem Schema aufgebaut: http://[...]login=USERNAME&pass=PASSWORT&v=2&is_utf8=0 Die Variablen werden dabei per GET Anweisung übergeben. POST ähnelt der GET-Methode, nur dass ein zusätzlicher Datenblock übermittelt wird. Dieser besteht üblicherweise aus Name-Wert-Paaren, die aus einem HTML-Formular stammen. Grundsätzlich können Daten auch mittels GET übertragen werden (als Argumente im URI), aber die Übertragung der Argumente erfolgt bei POST diskret (wichtig bei sensiblen Daten), und die zulässige Datenmenge ist deutlich größer. Erstaunlich also, das derartige Grundlage in der Programmierung bei der OGame-Startseite außer acht gelassen wurden. So kann jeder der ebenfalls an diesem Rechner sitzt aus dem Browserverlauf die Zugangsdaten für einen Account rekonstruieren. Das Problem ist mittlerweile seit fast einem Monat bekannt. 1. Thread vom 22.Juni: http://board.ogame.de/index.php?page=Thread&threadID=726253 http://board.ogame.de/index.php?page=Thread&threadID=727045 http://board.ogame.de/index.php?page=Thread&postID=1882902664 In der Zeit gab es zwar Neuerungen beim Redesign (das mittlerweile wieder zurückgenommene Update 15 in Uni6), die Sicherheitslücke beim Login besteht aber weiterhin. Natürlich liegt derzeit die Priorität beim Redesign aber die Startseite bleibt ja wahrscheinlich bestehen. Selbst wenn nicht: Auch ein Monat mit einer solchen Lücke ist deutlich zuviel, insbesondere da nach wie vor die Maxime herrscht, dass es bei OGame wegen gehackten Accounts keine Rückerstattungen oder pBUs gibt. Vor diesem Hintergrund kann man jedem Nutzer an öffentlichen PCs (zum Beispiel in der Schule oder in Internetcafes) nur folgende Ratschläge ans Herz legen: - Cookies löschen |
Tags zu diesem Artikel:
-
none
Ähnliche Artikel:
- None
4 Kommentare to “Klartext-Passwörter beim Einloggen”
Kommentar schreiben
Weitere Beiträge aus dieser Kategorie:
- Nach wie vor – Latenzprobleme bei StarWars Old republic
- StarWars – Old Republic aktuell mit Latenz- und Zugangsproblemen
- Falling Skies kommt nach Deutschland
- Dukem Nukem forever
- Call of Duty: Modern Warfare 3 Trailer
- Call of Duty Zombie Pack
- Virtua Tennis 4 erschienen
- Bigpoint hat neue Besitzer
- Virenwarnung bei Starcraft II
- Battlestar Galactica Online
- Warpfire mit 15 Euro Starterpaket
- Spieleliste
- Lost-Worlds: Inaktive Accounts freigegeben
- LOST- WORLDS: Release einer neuen Welt!
- Login-Probleme bei Starcraft 2
Juli 19th, 2009 at 22:23
Das ist ein Anfängerfehler und sogar ein ganz schlimmer. Wer weiß schon wo so Daten bei Bezahlfeatures ungewollt hingehen ?
Das sieht man mal was für Flaschen bei der GF arbeiten!
Juli 20th, 2009 at 14:50
Soweit ich mich erinnere war das bei allen Startseiten die es gab so.
Und ob die Daten nun per GET oder POST gesendet werden. Lesen kann sie trotzdem jeder der den Netzwerkverkehr anschaut.
Helfen würde hier nur eine z.B. SSL Verschlüsselung des Netzwerkverkehrs der OGame Startseite und auf der weitergeleiteten Seite.
Juli 20th, 2009 at 18:38
Auf der alten Startseite wurden die Passwörter zwar unverschlüsselt im header mitgesendet, die direkte Übertragung in der URL ist aber ein neues dickes Loch. Dadurch muss man eben nicht den Netzwerkverkehr nachvollziehen, es reicht den Surfverlauf zu checken und das erfordert meistens nur etwas Mühe und keine Fachkenntnis
Juli 22nd, 2009 at 20:57
[...] noch etwas dauern, Zeitraum unbekannt. Warten wir ab, ob das noch dieses Jahr geschieht. Bei den hochbezahlten Spezialisten, die die GameForge beschäftigt, bin ich mir ziemlich sicher, dass ein Update nicht gänzlich [...]