Dann würde ich gerne wissen wie ihr Passwörter Speichert.. Ich möchte Sehen wie du mein Passwort knackst, welches doch hoffentlich mit Salt + MD5 Hash oder gar besser per Blowfish verschlüsselt ist
Ich kenne mich durchaus sehr gut mit der Materie aus um zu beurteilen wie gut man auf einen Account kommt. Sorry.
Dein Vorschlag mit den Cookies und deinen Sessions mag ja gut und schön sein, allerdings sicherheitstechnisch der letzte Müll. Wer sich allein auf diese 2 Dinge verlässt, hat sich ziemlich große Sicherheitslücken rein. Dein Cookie kann nicht nur Hackerplace.de lesen sondern auch anderer Seiten. Damit kann sich jeder mit ein wenig Ahnung den Rest denken.
Noch schlimmer dein Vorschlag der Client-seitigen-Berechnung. Gut und schön für den Server. Unsicher bis zum geht nicht mehr für User die Programmieren können. Solche Browsergame sind ein schönes Fressen für User, die schnell mal unter die Top 10 wollen.
Mit ein wenig Ahnung wüsste man, dass sich Cookies nicht von anderen Seiten auslesen lassen solang der Cookie nicht auf * zeigt.
Dass jede Sekunde Berechnungen durchgeführt werden ist nicht ganz richtig. Es wird bei jedem Klick den du auf Hackerplace machst dein Income auf Sekunde genau berechnet.
Man braucht auch garnicht den Passwort, um sich in deinen Account ein zu loggen. Jeder, der sich in Facebook Accounts einhackt macht das ganz einfach über die Cookies. Deswegen ist es bei Facebook auch eine riesen schwäche, dass man nie ausgeloggt wird, da dadurch dort auch eine riesen Lücke entsteht, die von vielen ausgenutzt werden kann.
kleener-troll hat geschrieben:Dass jede Sekunde Berechnungen durchgeführt werden ist nicht ganz richtig. Es wird bei jedem Klick den du auf Hackerplace machst dein Income auf Sekunde genau berechnet.
Hast du aber doch behauptet? Naja gut, dann gibts ja kein Problem mehr hinsichtlich der Serverlast
kleener-troll hat geschrieben:Man braucht auch garnicht den Passwort, um sich in deinen Account ein zu loggen. Jeder, der sich in Facebook Accounts einhackt macht das ganz einfach über die Cookies. Deswegen ist es bei Facebook auch eine riesen schwäche, dass man nie ausgeloggt wird, da dadurch dort auch eine riesen Lücke entsteht, die von vielen ausgenutzt werden kann.
Okay, weg von Facebook: Was ist mit Google, Twitter, Microsoft, sämtliche Forensoftware, ...?
Das ist ja ein tolles Amüsement hier. Ihr habt nicht viel Ahnung vom Thema Sicherheit was? Ich möchte jetzt sehen wie ihr eine solche Lücke ausnutzt. Die Großen nutzen alle dieselbe Technik und ihr erzählt mir was von Sicherheitsleck.. Solange der Cookie vernünftig gesetzt wird, ist es gut.
Und wenn ihr schon so auf Sicherheit versessen seid, dann nehmt mal meine Session-ID aus dem span im Quellcode Das mag ich nicht so. Ist eventuell unsicher.
Also die Session-ID im span ist überhaupt kein Problem. Die Session-ID wird sowieso im Klartext in den HTTP-Headern übermittelt und das bei jedem Klick und nicht nur einmal wie im span.
Das Cookie brauch ich gar nicht um deinen Account zu stehlen. Ich habe erst vor kurzem einen Bug reportet wie ich das Cookie gar nicht brauche, es nur da sein muss. Wenn du wissen willst wie google mal "CSRF" oder "Cross Site Request Forgery". Und glab mir wo das herkommt gibt es noch mehr . Wenn ich einmal nicht zu faul bin kann ich mich ja nochmal genau umsehen. Aber eine Möglichkeit weiß ich sogar jetzt schon. Ich bin mir nur nicht 100%ig siche ob sich dieser "Bug" mit halbwegs aktuellen Browsern überhaupt nutzen lässt. Deswegen habe ich ihn auch noch nicht reportet. Sich auf die Sicherheit von Session zu verlassen ist eine SEHR schlechte Idee. Deswegen ist der Auto-Logout SEHR gut, und ich verstehe nicht warum so viele große Websiten so große Sicherheitsrisiken eingehen...
Die Session im Quellcode liegen zu lassen ist eigentlich vollkommen egal. Du schickst eh mit jeder Anfrage ein mal quer durch das Netz. Dann ist es wohl vollkommen egal ob du sie am Ende im Quelltext sehen kannst. Außerdem könntest du sonst bei keiner Seite ohne Cookies surfen. Aber das ist ein anderes Thema.
Das Cookies an Seiten gebunden sind mag sein da gebe ich dir Recht. Dennoch gibt es Wege von einer anderen Seite auf genau diese zuzugreifen. Auch wenn es ein paar Codezeilen Umweg sind. Du denkst einfach zu sehr nach dem Weg, der von den Entwicklern gedacht war...
Und da bin ich nicht der Einzigste, der das weiß wie es geht. Es gab schließlich auch schon einen ehrlichen User der auf genau so eine Lücke mittels Supportticket hingewiesen hat.
Ich brauche dieses Thema nicht vertiefen denn sonst fallen hier einfach Sachen, die nicht für jedermann bestimmt sind. Es mag ja sein, dass ihr etwas Ahnung von Sicherheit habt. Dennoch mag es auch Dinge geben, die ihr noch nicht wisst. Es gibt schon seine Gründe, dass es so ist wie es ist. Und es sind nicht die Statistiken. Es geht dabei in erster Linie um Sicherheit und in zweiter Linie darum, dass ihr ein kostenloses Browsergame spielt was sogar noch werbefrei ist und was ich euch mit meinem Geld monatlich zur Verfügung stelle und mich drüber freie wie ihr Spielt. Was denkst du was da für ein Hochleistung-Rechenzentrum dahinter hengt? Natürlich muss ich auch irgendwo darauf achten, dass das Spiel so schnell bleibt wie es ist. Und die Ladezeiten sind soweit ganz gut bin ich der Meinung nach. (Wenn man mal die Spitzen abzieht, wenn sich wieder jemand am Server versucht)
Edit: da gabs wohl eine Überschneidung bei den Beiträgen. Naja egal. Ich lass es so...
However, ich wollte hier eigentlich keine derartige Diskussion loslösen, sondern lediglich zur Verbesserung des Spiels beitragen. Da ich selbst Webseiten entwickle und ab und an mal eine Benutzerverwaltung mit Login schreiben muss hätte ich nicht gedacht, dass derartiges ein Problem für euch darstellt.
Freaky-Boy hat geschrieben:dass ihr ein kostenloses Browsergame spielt was sogar noch werbefrei ist und was ich euch mit meinem Geld monatlich zur Verfügung stelle und mich drüber freie wie ihr Spielt.
Deswegen versuche ich ja auch durch meine Posts dazu beizutragen. Ich finde es klasse, dass ihr ein cooles Browsergame aufzieht, weiter so!
Hey sry. Du bist vllt. einfach mal gerade zum falschen Zeitpunkt mit dem falschen Thema gekommen. Lass und einfach noch mal neu anfangen.
Wie du schon sagst ist es technisch überhaupt kein Problem. Ich habe selbst noch einige Seiten laufen, wo ich das Auto-Logout nicht drin habe. Hier geht es aber einfach darum, dass das Spiel genau die Kundschaft anlockt, die sich mit genau diesem Thema recht gut auskennen. Aus diesem Grund musste ich hier vieles Anders machen und musste auch ehrlich gesagt viel dazu lernen. Viele sicherheitsrelevanten Dinge wurden erst nach ehrlichen Usern eingebaut, die sich über Supporttickets gemeldet haben.
Ich sage also nicht dass dein Vorschlag schlecht ist und dass ich den Auto-Logout mächtig geil finde. Es ist aber ein kleines Stückchen sicherer wenn ich dich Serverseitig abmelde wenn du eine Weile nichts gemacht hast. Und genauso musste ich das Ding mit den Cookies lernen. t0bd1 hat dir ja gepostet wonach du suchen musst falls dich das Thema interessiert. Wenn du das dann einmal durch hast, verstanden hast und eine Nacht drüber geschlafen hast, findest du noch viele andere Wege wie du die Lücke nutzen kannst.
Ringelnatz hat geschrieben:Deswegen versuche ich ja auch durch meine Posts dazu beizutragen. Ich finde es klasse, dass ihr ein cooles Browsergame aufzieht, weiter so!
Nicht nur den Entwicklern und Adminstratoren ist ein Lob auszusprechen, sondern auch allen anderen die das Browsergame so aktiv spielen. Denn ohne die Community, brauchen wir kein Browsergame.
