EF-Whitelist

R

raven

Well-known member
20 April 2006
5.038
540
Hallo,
leider häufen sich ja in letzter Zeit die Meldungen über Accounthacking sowie anschließendes Lose-Waschen per Loseseiten. Das Lose-Passwort wird gestohlen, Waren - egal ob reell oder virtuell - werden gekauft, die Lose per EF eingezogen - und weg sind sie!
Für die Accountbesitzer kommt dann meist die böse Überraschung, besonders, weil bei vielen Accountbesitzern kein wirklicher Wert auf sichere Passwörter gelegt wird ... :roll:

Ich hatte daher die Idee, dass man eventuell ein Feature anfertigen könnte, was die Verluste (und die Admin-Arbeit auch *g*) möglicherweise senken würde.
Ich denke dabei an eine EF-Whitelist im Profil, bzw. als neue Seite im "Lose"-Menü unter "Mein Account". Nur die EF-IDs, welche durch den User selbst in diese Liste eingetragen werden, sind befugt, jegliche Lose-Aktionen per EF mit dem Account durchzuführen. Das bedeutet zwar mehr Aufwand für den User, sobald er eine neue Lose-Seite betritt, aber auch viel mehr Sicherheit! Und da diese Aktion ja nur einmal pro Seite durchgeführt werden muss, ist der Aufwand denkbar gering ;)

Wie ist eure Meinung dazu?
raven
 
Erinnert mich ein wenig an dieses Ebay-Authentifikations-Key Zeug fuer externe Applikationen wie GarageSale/TurboLister... Da fragt das Programm bei deinem Ebayaccont an, ob es denn fuer dich Sachen erledigen kann - wird per Passwort von dir bestaetigt und dann hat es Zugriff - sonst nicht.

Irgendsoetwas "automatisiertes" braeuchte man dann schon... ich hab ja keine Lust, jedes mal wenn ich irgendwo mit nem EF in Kontakt gehe erst in meinem Klammprofil rumzuwurschteln.
 
Eine ähnliche Idee schwirrt mir ebenfalls schon ein Weilchen durch den Kopf - allerdings bin ich irgendwie net dazu gekommen diese sauber formuliert ins Forum zu packen.

Ich würde auf jeden Fall eine derartige Änderung begrüsen - vielleicht aber eher als Feature welches aktiviert und deaktiviert werden kann - immerhin gibt es ja auch eine Menge User die von Seite zu Seite hüpfen mit ihrem Guthaben.

Jedoch würde ich dann ganz klar eine Meldung schreiben, das der User damit auf eigenes Risiko handelt.
 
der hacker kann ja i-eine EF-id eintragen? oder halt die lose auf nen anderen acc transferieren wo die ID erlaubt ist

deswegen :arrow:dagegen
 
the13th schrieb:
Jedoch würde ich dann ganz klar eine Meldung schreiben, das der User damit auf eigenes Risiko handelt.
Zum Vergrößern anklicken....
Ja, (de-)aktivierbar würde ich das Feature auch bevorzugen. Die wenigen User, die mit bedacht handeln, insb. mit dem Lose-Passwort, dürften ja keine Probleme mit sowas (gehabt?) haben.

Karlsruhe schrieb:
der hacker kann ja i-eine EF-id eintragen?
Zum Vergrößern anklicken....
Nein, das ginge doch nur mit dem klamm-Passwort.

Karlsruhe schrieb:
oder halt die lose auf nen anderen acc transferieren wo die ID erlaubt ist
Zum Vergrößern anklicken....
Dazu müsste man aber den kompletten EF einer Seite, die auf der Whitelist steht, cracken - und solange man nur vertrauenswürdige Seiten dort angibt, die auf ihre EF-Daten aufpassen, stellt das doch kein Problem dar?
 
raven schrieb:
Nein, das ginge doch nur mit dem klamm-Passwort.
Zum Vergrößern anklicken....
das haben die meisten hacker ja auch ;) sonst hätten sie keine powerlinks buchen können mit dem guthaben der gehackten user

raven schrieb:
Dazu müsste man aber den kompletten EF einer Seite, die auf der Whitelist steht, cracken - und solange man nur vertrauenswürdige Seiten dort angibt, die auf ihre EF-Daten aufpassen, stellt das doch kein Problem dar?
Zum Vergrößern anklicken....

hö? was hat der ef jetzt damit zu tun :think: ich meinte: dann werden die lose eben von user a zu einem user transferiert wo die EF-ID erlaubt.
 
Hm, ich habe das Gefühl, wir reden über zwei verschiedene Fälle ;)

Du meinst die Attacken, in denen per Trojaner klamm-PWs gespyed werden - da ist es natürlich kein Schutz, da geb ich dir recht ;)
Ich meine aber die Fälle, in denen nur die Lose-PWs mitgelogged werden.
 
jop die meinte ich ...

und so im großen stil hab ich noch kein losepasswort"klau" mitbekommen.

ja man könnte sagen das es schützen kann ... aber naja
 
Das Lose-Passwort ist der Schlüssel, um mich beliebig der Lose auf dem zugehörigen Account zu bemächtigen. Warum gebe ich diesen Schlüssel überhaupt her ? :hö:

Ich möchte damit sagen, dass es doch völlig ausreicht, das Lose-Passwort nicht wild überall herzugeben und es vor allem regelmäßig zu ändern.
Der Vorschlag zielt also wieder auf ein "Faulheits-Feature" ab, was ich nicht wirklich gut finde.

Ein weiterer Aspekt:
Würde Derartiges implementiert werden, muss es einen neuen EF-Fehlercode geben, der "Dieser EF hat keinen Zugriff auf das Konto" signalisiert. Wie viele Loseseiten würde eine Änderung an der EF-API gar nicht erst mitbekommen ?

Ich kann mir gut vorstellen, dass es viele Billig-Scripts gibt, die keinen default-Block in ihrem EF-Returncode-switch haben. Das is zwar aus meiner Sicht relativ lustig :ugly: :LOL: ... die Folgen für die Seiten wären aber doch fatal, wenn der Parser munter weiter das Script durchläuft, obwohl keine Transaktion stattgefunden hat.
 
theHacker schrieb:
Ich kann mir gut vorstellen, dass es viele Billig-Scripts gibt, die keinen default-Block in ihrem EF-Returncode-switch haben.
Zum Vergrößern anklicken....

Naja, aus technischer Sicht wärs durchaus möglich, ne Kompatibilität zu solchen Scripts zu erreichen, indem man einfach den Fehlercode auf "Unbekannter Fehler" setzt (dafür gibts doch nen Code, oder? o_O) und einfach im Falle von Nicht-Zugriff nen zusätzlichen Parameter dranhängt, der angibt, ob es wirklich ein unbekannter Fehler ist oder ob der EF einfach keinen Zugriff kriegt.

Wär unschön aber - angenommen jeder hat den case "Unbekannter Fehler" im Script - gäbs das Problem, das du beschrieben hast, nicht mehr.

:arrow: Ansonsten stimme ich tH zu, meiner Meinung nach absolut nicht nötig.
 
Ja in etwa xD
Naja, wie gesagt. Möglich wär's - und hässlich ist doch nahezu jedes Workaround ;)

:arrow: Dagegen
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben