Zurück   klamm-Forum > klamm.de > klamm talk > Verbesserungsvorschläge

Antwort
 
LinkBack Themen-Optionen Ansicht
Alt 24.04.2007, 16:18:39   #1 (permalink)
Moderator

Reg: 20.04.2006
Beiträge: 5.061
Standard EF-Whitelist

Hallo,
leider häufen sich ja in letzter Zeit die Meldungen über Accounthacking sowie anschließendes Lose-Waschen per Loseseiten. Das Lose-Passwort wird gestohlen, Waren - egal ob reell oder virtuell - werden gekauft, die Lose per EF eingezogen - und weg sind sie!
Für die Accountbesitzer kommt dann meist die böse Überraschung, besonders, weil bei vielen Accountbesitzern kein wirklicher Wert auf sichere Passwörter gelegt wird ...

Ich hatte daher die Idee, dass man eventuell ein Feature anfertigen könnte, was die Verluste (und die Admin-Arbeit auch *g*) möglicherweise senken würde.
Ich denke dabei an eine EF-Whitelist im Profil, bzw. als neue Seite im "Lose"-Menü unter "Mein Account". Nur die EF-IDs, welche durch den User selbst in diese Liste eingetragen werden, sind befugt, jegliche Lose-Aktionen per EF mit dem Account durchzuführen. Das bedeutet zwar mehr Aufwand für den User, sobald er eine neue Lose-Seite betritt, aber auch viel mehr Sicherheit! Und da diese Aktion ja nur einmal pro Seite durchgeführt werden muss, ist der Aufwand denkbar gering

Wie ist eure Meinung dazu?
raven
 
raven ist offline   Mit Zitat antworten
Alt 24.04.2007, 16:22:01   #2 (permalink)
Alter Benutzer

ID: 10149
Lose-Remote

bartman eine Nachricht über ICQ schicken
Reg: 07.05.2006
Beiträge: 501
Standard

Erinnert mich ein wenig an dieses Ebay-Authentifikations-Key Zeug fuer externe Applikationen wie GarageSale/TurboLister... Da fragt das Programm bei deinem Ebayaccont an, ob es denn fuer dich Sachen erledigen kann - wird per Passwort von dir bestaetigt und dann hat es Zugriff - sonst nicht.

Irgendsoetwas "automatisiertes" braeuchte man dann schon... ich hab ja keine Lust, jedes mal wenn ich irgendwo mit nem EF in Kontakt gehe erst in meinem Klammprofil rumzuwurschteln.
bartman ist offline   Mit Zitat antworten
Alt 24.04.2007, 16:22:16   #3 (permalink)
!$@!$

ID: 271423
Lose-Remote

the13th eine Nachricht über ICQ schicken the13th eine Nachricht über Skype™ schicken
Reg: 17.01.2007
Beiträge: 151
Standard

Eine ähnliche Idee schwirrt mir ebenfalls schon ein Weilchen durch den Kopf - allerdings bin ich irgendwie net dazu gekommen diese sauber formuliert ins Forum zu packen.

Ich würde auf jeden Fall eine derartige Änderung begrüsen - vielleicht aber eher als Feature welches aktiviert und deaktiviert werden kann - immerhin gibt es ja auch eine Menge User die von Seite zu Seite hüpfen mit ihrem Guthaben.

Jedoch würde ich dann ganz klar eine Meldung schreiben, das der User damit auf eigenes Risiko handelt.
the13th ist offline   Mit Zitat antworten
Alt 24.04.2007, 16:23:14   #4 (permalink)
Schuck

ID: 230768
Lose-Remote

Reg: 10.07.2006
Beiträge: 23.298
Standard

der hacker kann ja i-eine EF-id eintragen? oder halt die lose auf nen anderen acc transferieren wo die ID erlaubt ist

deswegen dagegen
 
Karlsruhe ist offline   Mit Zitat antworten
Alt 24.04.2007, 16:26:00   #5 (permalink)
Moderator

Reg: 20.04.2006
Beiträge: 5.061
Standard

Zitat:
Zitat von the13th Beitrag anzeigen
Jedoch würde ich dann ganz klar eine Meldung schreiben, das der User damit auf eigenes Risiko handelt.
Ja, (de-)aktivierbar würde ich das Feature auch bevorzugen. Die wenigen User, die mit bedacht handeln, insb. mit dem Lose-Passwort, dürften ja keine Probleme mit sowas (gehabt?) haben.

Zitat:
Zitat von Karlsruhe Beitrag anzeigen
der hacker kann ja i-eine EF-id eintragen?
Nein, das ginge doch nur mit dem klamm-Passwort.

Zitat:
Zitat von Karlsruhe Beitrag anzeigen
oder halt die lose auf nen anderen acc transferieren wo die ID erlaubt ist
Dazu müsste man aber den kompletten EF einer Seite, die auf der Whitelist steht, cracken - und solange man nur vertrauenswürdige Seiten dort angibt, die auf ihre EF-Daten aufpassen, stellt das doch kein Problem dar?
 
raven ist offline Threadstarter   Mit Zitat antworten
Alt 24.04.2007, 16:27:43   #6 (permalink)
Schuck

ID: 230768
Lose-Remote

Reg: 10.07.2006
Beiträge: 23.298
Standard

Zitat:
Zitat von raven Beitrag anzeigen
Nein, das ginge doch nur mit dem klamm-Passwort.
das haben die meisten hacker ja auch sonst hätten sie keine powerlinks buchen können mit dem guthaben der gehackten user

Zitat:
Zitat von raven Beitrag anzeigen
Dazu müsste man aber den kompletten EF einer Seite, die auf der Whitelist steht, cracken - und solange man nur vertrauenswürdige Seiten dort angibt, die auf ihre EF-Daten aufpassen, stellt das doch kein Problem dar?
hö? was hat der ef jetzt damit zu tun ich meinte: dann werden die lose eben von user a zu einem user transferiert wo die EF-ID erlaubt.
 
Karlsruhe ist offline   Mit Zitat antworten
Alt 24.04.2007, 16:29:39   #7 (permalink)
Moderator

Reg: 20.04.2006
Beiträge: 5.061
Standard

Hm, ich habe das Gefühl, wir reden über zwei verschiedene Fälle

Du meinst die Attacken, in denen per Trojaner klamm-PWs gespyed werden - da ist es natürlich kein Schutz, da geb ich dir recht
Ich meine aber die Fälle, in denen nur die Lose-PWs mitgelogged werden.
 
raven ist offline Threadstarter   Mit Zitat antworten
Alt 24.04.2007, 16:31:35   #8 (permalink)
Schuck

ID: 230768
Lose-Remote

Reg: 10.07.2006
Beiträge: 23.298
Standard

jop die meinte ich ...

und so im großen stil hab ich noch kein losepasswort"klau" mitbekommen.

ja man könnte sagen das es schützen kann ... aber naja
 
Karlsruhe ist offline   Mit Zitat antworten
Alt 24.04.2007, 16:47:06   #9 (permalink)
Lose 2.0 –
das zweite Zeitalter
Benutzerbild von theHacker

ID: 69505
Lose-Remote

theHacker eine Nachricht über ICQ schicken theHacker eine Nachricht über Skype™ schicken
Reg: 20.04.2006
Beiträge: 22.650
Standard

Das Lose-Passwort ist der Schlüssel, um mich beliebig der Lose auf dem zugehörigen Account zu bemächtigen. Warum gebe ich diesen Schlüssel überhaupt her ?

Ich möchte damit sagen, dass es doch völlig ausreicht, das Lose-Passwort nicht wild überall herzugeben und es vor allem regelmäßig zu ändern.
Der Vorschlag zielt also wieder auf ein "Faulheits-Feature" ab, was ich nicht wirklich gut finde.

Ein weiterer Aspekt:
Würde Derartiges implementiert werden, muss es einen neuen EF-Fehlercode geben, der "Dieser EF hat keinen Zugriff auf das Konto" signalisiert. Wie viele Loseseiten würde eine Änderung an der EF-API gar nicht erst mitbekommen ?

Ich kann mir gut vorstellen, dass es viele Billig-Scripts gibt, die keinen default-Block in ihrem EF-Returncode-switch haben. Das is zwar aus meiner Sicht relativ lustig ... die Folgen für die Seiten wären aber doch fatal, wenn der Parser munter weiter das Script durchläuft, obwohl keine Transaktion stattgefunden hat.
NEU OpenIsles - das freie Insel-Aufbauspiel NEU

www.theHacker.ws v3 | WhatPulse-Team
Bezahlte Startseite
- mehr Verdienst als auf klamm - viele Auszahlungen erhalten
theHacker ist offline   Mit Zitat antworten
Alt 24.04.2007, 22:05:53   #10 (permalink)
lo0l
Benutzerbild von groe

ID: 134786
Lose-Remote

groe eine Nachricht über ICQ schicken groe eine Nachricht über MSN schicken groe eine Nachricht über Skype™ schicken
Reg: 26.04.2006
Beiträge: 224
Standard

Zitat:
Zitat von theHacker Beitrag anzeigen
Ich kann mir gut vorstellen, dass es viele Billig-Scripts gibt, die keinen default-Block in ihrem EF-Returncode-switch haben.
Naja, aus technischer Sicht wärs durchaus möglich, ne Kompatibilität zu solchen Scripts zu erreichen, indem man einfach den Fehlercode auf "Unbekannter Fehler" setzt (dafür gibts doch nen Code, oder? o.O) und einfach im Falle von Nicht-Zugriff nen zusätzlichen Parameter dranhängt, der angibt, ob es wirklich ein unbekannter Fehler ist oder ob der EF einfach keinen Zugriff kriegt.

Wär unschön aber - angenommen jeder hat den case "Unbekannter Fehler" im Script - gäbs das Problem, das du beschrieben hast, nicht mehr.

Ansonsten stimme ich tH zu, meiner Meinung nach absolut nicht nötig.
groe ist offline   Mit Zitat antworten
Alt 24.04.2007, 22:49:23   #11 (permalink)
Lose 2.0 –
das zweite Zeitalter
Benutzerbild von theHacker

ID: 69505
Lose-Remote

theHacker eine Nachricht über ICQ schicken theHacker eine Nachricht über Skype™ schicken
Reg: 20.04.2006
Beiträge: 22.650
Standard

Zitat:
Zitat von groe Beitrag anzeigen
[...]indem man einfach den Fehlercode auf "Unbekannter Fehler" setzt[...]
Wär unschön [...]
Das dürfte so in etwa an den Vergleich einer Malaria-Epidemie in Berlin mit dem Ausdruck "nicht so schön" rankommen
NEU OpenIsles - das freie Insel-Aufbauspiel NEU

www.theHacker.ws v3 | WhatPulse-Team
Bezahlte Startseite
- mehr Verdienst als auf klamm - viele Auszahlungen erhalten
theHacker ist offline   Mit Zitat antworten
Alt 24.04.2007, 23:00:16   #12 (permalink)
lo0l
Benutzerbild von groe

ID: 134786
Lose-Remote

groe eine Nachricht über ICQ schicken groe eine Nachricht über MSN schicken groe eine Nachricht über Skype™ schicken
Reg: 26.04.2006
Beiträge: 224
Standard

Ja in etwa xD
Naja, wie gesagt. Möglich wär's - und hässlich ist doch nahezu jedes Workaround

Dagegen
groe ist offline   Mit Zitat antworten
Antwort

Gesponsorte Links

Anzeige


Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)
 
Themen-Optionen
Ansicht

Forumregeln
Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
Es ist Ihnen nicht erlaubt, auf Beiträge zu antworten.
Es ist Ihnen nicht erlaubt, Anhänge hochzuladen.
Es ist Ihnen nicht erlaubt, Ihre Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks sind an
Pingbacks sind an
Refbacks sind an


Ähnliche Themen
Thema Autor Forum Antworten Letzter Beitrag
Black/Whitelist für Klickanbieter? legoolaaaass Paid4 - News & Infos 1 01.08.2008 15:13:27
[PHP] Warum Whitelist zur Sicherung von include() glowhand Programmierung 8 24.10.2007 15:24:30


Alle Zeitangaben in WEZ +1. Es ist jetzt 16:55:44 Uhr.