Achtung: Goldklau-Link
Re: Achtung: Goldklau-Link
Könnte man nicht einfach die Session-ID mit in jeden Link reinschreiben und dann prüfen, ob die Session-ID des Spielers mit der im Link übereinstimmt? Das sollte diesen Angriff doch eigentlich verhindern, da man die Session-ID des Opfers kennen müsste.
Re: Achtung: Goldklau-Link
Naja, so lief es hier mal früher.Litos hat geschrieben:Könnte man nicht einfach die Session-ID mit in jeden Link reinschreiben und dann prüfen, ob die Session-ID des Spielers mit der im Link übereinstimmt? Das sollte diesen Angriff doch eigentlich verhindern, da man die Session-ID des Opfers kennen müsste.
Dann waren aber die Benutzer so außerordentlich klug und mussten ihre Adresszeile an wildfremde Leute weitergeben, die den Account dann sofort übernommen haben.
Sowas in der Art bräuchte man aber schon. Allerdings löst das auch nur ein Teilproblem.
Gruß damh
Glück ist das Maß, in dem ich zulasse, dass meine Bedürfnisse erfüllt werden können.
=> Wer glücklich sein will, muss wissen, was er braucht.
=> Wer weiß, was er braucht, kann beobachten, wer oder was ihm im Weg steht. Man ist es fast immer selbst.
=> Wer glücklich sein will, muss wissen, was er braucht.
=> Wer weiß, was er braucht, kann beobachten, wer oder was ihm im Weg steht. Man ist es fast immer selbst.
Re: Achtung: Goldklau-Link
Stimmt, das ist mir auch vorhin noch eingefallen. So wäre es wohl möglich, die Session komplett zu übernehmen.
Aber das lässt sich auch ganz einfach lösen: Man generiert für jede Session einen zufälligen Code, den man in der Datenbank zusammen mit der Session-ID speichert. Jeder Link, der irgendeine Spielaktion ausführt, enthält dieses Token. Das Spiel überprüft dann einfach immer, ob das Token im Link zu der Session-ID des Spielers passt. Wenn der Angreifer das Token des Spielers in die Finger bekommt, bringt ihm das immer noch garnichts, weil er ja nicht die dazugehörige Session-ID bekommt und Link-Angriffe werden dadurch auch effektiv verhindert (außer natürlich während der laufenden Session).
Also, wenn der Spieler einem anderen Spieler einen Link von einer eigenen Spielaktion gibt, dann ist er natürlich selbst Schuld, aber selbst dann funktioniert der Angriff nur so lange, bis er sich neu eingeloggt hat.
Oder hab ich jetzt wieder etwas übersehen?
Aber das lässt sich auch ganz einfach lösen: Man generiert für jede Session einen zufälligen Code, den man in der Datenbank zusammen mit der Session-ID speichert. Jeder Link, der irgendeine Spielaktion ausführt, enthält dieses Token. Das Spiel überprüft dann einfach immer, ob das Token im Link zu der Session-ID des Spielers passt. Wenn der Angreifer das Token des Spielers in die Finger bekommt, bringt ihm das immer noch garnichts, weil er ja nicht die dazugehörige Session-ID bekommt und Link-Angriffe werden dadurch auch effektiv verhindert (außer natürlich während der laufenden Session).
Also, wenn der Spieler einem anderen Spieler einen Link von einer eigenen Spielaktion gibt, dann ist er natürlich selbst Schuld, aber selbst dann funktioniert der Angriff nur so lange, bis er sich neu eingeloggt hat.
Oder hab ich jetzt wieder etwas übersehen?
Re: Achtung: Goldklau-Link
Naja, man sollte dabei zusätzlich die Nebeneffekte des Referer beachten bzw. dafür sorgen, dass niemals Fremd-URIs mit einem Referer von einer Seite mit diesem Token aufgerufen werden können.
Dann wäre man vermutlich die schlimmsten Probleme bereits los.
Gruß damh
Dann wäre man vermutlich die schlimmsten Probleme bereits los.
Gruß damh
Glück ist das Maß, in dem ich zulasse, dass meine Bedürfnisse erfüllt werden können.
=> Wer glücklich sein will, muss wissen, was er braucht.
=> Wer weiß, was er braucht, kann beobachten, wer oder was ihm im Weg steht. Man ist es fast immer selbst.
=> Wer glücklich sein will, muss wissen, was er braucht.
=> Wer weiß, was er braucht, kann beobachten, wer oder was ihm im Weg steht. Man ist es fast immer selbst.
Re: Achtung: Goldklau-Link
zum glück hab ich kein gold und hab nie mehr als 2k auf der hand 
naja jedenfalls wird ingame nicht davor gewarnt im gegensatz zu pw weitergabe oÄ
naja jedenfalls wird ingame nicht davor gewarnt im gegensatz zu pw weitergabe oÄ
Re: Achtung: Goldklau-Link
Die Einführung der bisher schon bei Einzelschlägwn vorhandenen Sicherheits-IDs würde glaube ich schon eine Menge Probleme lösen!
Magnus Luterius hat geschrieben:Aber ist echt interessant, wie manche hier ihre andere Seite zeigen[...].Glaub, die nächste Neuerung sollte eine Verlinkung zur Suchtberatung sein.
Re: Achtung: Goldklau-Link
Das ist auch mittlerweile bei vielen Links geändert worden so.Roudy hat geschrieben:Die Einführung der bisher schon bei Einzelschlägwn vorhandenen Sicherheits-IDs würde glaube ich schon eine Menge Probleme lösen!
Geldübergabe sollte z.B. nicht mehr gehen.
Gruß damh
Glück ist das Maß, in dem ich zulasse, dass meine Bedürfnisse erfüllt werden können.
=> Wer glücklich sein will, muss wissen, was er braucht.
=> Wer weiß, was er braucht, kann beobachten, wer oder was ihm im Weg steht. Man ist es fast immer selbst.
=> Wer glücklich sein will, muss wissen, was er braucht.
=> Wer weiß, was er braucht, kann beobachten, wer oder was ihm im Weg steht. Man ist es fast immer selbst.
Wer ist online?
Mitglieder in diesem Forum: 0 Mitglieder und 7 Gäste