Drakensang einloggen unverschlüsselt!

Mir ist letzens aufgefallen dass die komplette DSO Seite unverschlüsselt ist. Somit könnte jeder kleine Hacker unsere Accountdaten herausfinden!
Seht her:

Am Beispiel von Google zeige ich wie es aussehen könnte/sollte:

Gebt das mal an die Technik weiter!

 

War ja auch ne Zeit lang so, dass sie, wenn jemand sein Passwort vergessen hat, einem das Passwort 1 zu 1 geschickt haben und nicht die allseits bekannte Passwort-Neueinrichtung.

Datenschutz-technisch ist es bei DSO wirklich unter aller Sau.

In dem Sinne,
Gruß,
Sky

 

Hallo Fabiman,

da hast Du recht, dass die Anmeldeseite unverschlüsselt ist.
Die Datenbanken liegen aber auf anderen Servern und sind verschlüsselt, somit können keine Daten einfach so "herausgefunden" werden.
Wir haken nach, warum unsere Anmeldeseite auf SSL verzichtet und regen an, die Sicherheit zu erhöhen.


Grüße Onebro

 

Ja und nein.

Das Formular zum Anmelden wird unverschlüsselt ausgeliefert. Wenn man aber Benutzername und Passwort eingibt werden diese an einen anderen Server, verschlüsselt mit HTTPS übermittelt.

z.B. https://auth3.bpsecure.com

Dass die Seite mit dem Passwort-Eingabeformular unverschlüsselt ausgeliefert wird ist unschön, aber nur problematisch wenn jemand sich zwischen dich und den BP-Server klemmen kann. gegen passives abhören schützt das aber.

Trotzdem würde ich DSO nicht über ein öffentliches oder ungeschütztes WLAN spielen...

 

Unser WLAN ist WPA2 verschlüsselt
Hast aber Recht mit dem auth3.bpsecure. Wenn man sich bei einloggt kann man bei Chrome unten links ein paar Seiten lesen Außerdem sieht man davon was im Quelltext
Fragt aber trotzdem nach wegen der Sicherheit.
In letzter Zeit wurden ja sau viele Leute gehackt. Ich vermute zwar dass es bei dem ein oder anderen Multiaccount war und deswegen alles weg ist aber das spielt erstmal keine Rolle.

 

So lange nicht alle Seiten über https ausgeliefert werden kann man den Account trotzdem hacken. Durch die Anmeldung bekommt man ja Session-Cookies in den Webbrowser, die mehrere Stunden lang gültig sind (gleiches gilt für den Client, der verwendet einfach meines Wissens den Internet-Explorer intern). Wenn die jemand bei der Übertragung mitliest, dann kann er auch das Spiel starten und damit Blödsinn machen, bis das Session-Cookies ausläuft.

 

Stimmt auch wieder =/. DSO müsste den Sicherheitsstandart erhöhen und ich fände es geil wenn es einen offiziellen Drakensang TS gäbe^^ Den würde sicher irgendein *** dauernd DDOSen

 

Hallo Fabiman,


Deinen Ausdruck habe ich editiert. Da das nicht Dein erstes Vergehen dieser Art ist, wirst Du somit verwarnt.


Mit freundlichen Grüßen,
Cosopt

 

Das letzte mal als ich sowas geschrieben hatte bekam ich Sperre und ich dachte dann hätte ich wieder ein paar Sternchen(*) frei bis zur Verwarnung^^
Es ist aber wirklich so!

 

Das geht aber nur, wenn diese Person es schafft einem einen Trojaner oder ähnliches auf dem Rechner zu schicken? Einfach so ohne Anhaltspunkt kann er niemals rausfinden, wo der eigene Rechner steht, um an genau diesem ranzukommen, wo grade die aktuellen Session-Cookies drauf aktiviert sind, oder?

 

Kommt darauf an wo dein Rechner steht Daaniel. Angefangen von deinem (W)LAN passieren die Daten einige Router bis sie bei BigPoint ankommen.
Welche Router die Daten passieren ist nicht festgelegt sondern hängt von vielen Faktoren ab. Insofern muss man nicht unbedingt einen Trojaner auf dem Rechner haben um angegriffen zu werden.

Andere Rechner bei dir im Netz können z.B. behaupten der DSL-Router zu sein und bekommen dann alle Daten um sie ins Internet weiterzusenden, oder das WLAN-Passwort ist zu schwach/kurz und jemand hackt sich so ein. Ein Gericht hat mal in einem Urteil festgelegt, dass das Standard-WLAN-Passwort dass auf der Rückseite des Routers abgedruckt ist nicht als Schutz ausreicht. Bei manchen Routern kann man das Standard-WLAN-Passwort sogar aus der Netztwerk-ID (MAC) ausrechnen, die der Router freundlicherweise regelmäßig an alle versendet die zuhören.

Manche Daten-Routen durch das Internet kann man auch manipulieren, was in der Regel auch bemerkt wird. So gibt es ab und ann schon mal merkwürdige Umleitungen von Daten-Routen über Russland oder andere osteuropäische Länder...

Dagegen würde nur Helfen alles über SSL/TLS verschlüsselt zu übertragen, eigentlich auch die Spieldaten, allerdings wird das nie geschehen, da die Server bei BigPoint dann gleich mal um ca. nen Faktor 5-10 größer ausgelegt werden müssten oder Spezialhardware zum entschlüsseln bräuchten. Die Latenz und wahrscheinlich auch die Lags würden größer werden.

Fazit: Ein System, mit der man einen kaputtgemachten oder gestohlenen Account zurückholen könnte wäre einfacher und billiger.

 

nicht zwangsmässig. es besteht auch die möglichkeit über die dso-seite selber (je nach dem wie sicher sie gegen xss ist) dir eine url unterzujubeln, welche deinen browser dazu bringt die benötigten daten zu übermitteln. oder bspw mittels mail-spoofing (ein offizielles dso-mail faken) welches eine url enthält, die dir zum verhängnis wird.

 

Ja das geht auch. Adobe Emails werden mir immer als Phishing markiert xD

 

Liebe Helden von Dracania,


da hier schon seit mehr als 14 Tagen keiner mehr gepostet hat, schließen wir das Thema und verschieben es, wie in den Archivierungsregeln vorgesehen, in das entsprechende Archiv (Archiv Rest).