Achtung: Goldklau-Link

[Lauranthalas]

1.hättest du jemanden von den mods aufklären können, daß du was versuchen willst und es dann melden willst.

2. ist das längst bekannt, daß man mit blossen angucken von profilen einiges anstellen kann.

du hast niemanden eingeweiht und du weisst das jegliche links in fw verboten sind, welche etwas auslösen.

von selbst wegzaubern, bis clanaustrittlinks oder eben transferlinks. dabei ist es unerheblich, ob es nun 1 gold oder 400k gold sind, denn regelverstoss ist regelverstoss.

wer meint etwas gefunden zu haben oder einen bug aufdecken will, kann das auch mit den mods zusammen machen.

gruss laura

[Fujitora]

von selbst wegzaubern, bis clanaustrittlinks oder eben transferlinks. dabei ist es unerheblich, ob es nun 1 gold oder 400k gold sind, denn regelverstoss ist regelverstoss.

auch solche Links, mit denen man andere in eine Gruppe einlädt? hab ich des öfteren in Profilen gesehen..

[Blizz]

Jopp Gruppeneinladungslinks sind verboten

[Fujitora]

mir fällt dazu ne Geschichte ein:

Es gab einmal einen Typ (Name egal) der einen Link gepostet hat, der einen ausm Clan schmeisst..Das schöne daran war, dass, nachdem ich es in den Support gesetzt habe..ich verwarnt wurde und es ärger mit nem Mod war

(Das ist schon ewig her..der Mod ist keiner mehr..ich werd wohl noch wissen was richtig und falsch ist oô)

Kurz und knackig..kann man sich davor schützen?

[Geist von Fool]

Ja, aber man muss ein komplett paranoide aufgesetztes System haben - enfach lösbar isses wohl nicht. Gegen die Profilgeschichte kann man sich schützen, indem man Profile halt immer nur in einem zweiten Browser anguckt, in dem man nicht in FW eingelogt ist. Absoluten Schutz bietet das aber auch nicht.

[Kakerlake]

Nein, das kann wirklich nicht die einzige Lösung sein, außerdem reicht es bereits wenn z.B. jemand einen manipulierten Ehering hochhält um allen Usern auf dem Feld ordentlich Gold abzuknöpfen.

Die einzige mögliche Sicherung würde darin bestehen das die Mods vor blindem bannen erst einmal in Erfahrung bringen wie der Bug überhaupt funktioniert, andernfalls ist damit zu rechnen das der Bug sich verbreitet was für gewöhnlich wesentlich mehr Arbeit bedeutet.

In diversen Welten haben gestern eine Reihe von Usern jeweils ein paar k gm durch diese Sicherheitslücke verloren.
Wieso? Dieser Bug ist neu. Die Mods kennen ihn zum größten Teil noch nicht. Und die User auch nicht.

Wo ich gerade dabei bin hier der Bug selber:
[ DEL - Ando - Wenn möglich im Support genau schildern, Anleitung zum Reproduzieren rausgenommen ]

[insanus]

Wenn du zu weit reichenden Überlegungen fähig bist frage ich mich ob es absichtliche Provokation oder doch etwas anderes ist, dass du die Bugs zu nutzen bis auf ein winziges Detail genau anleitest. Es ist ja schön, dass es dir auffällt, welche Sicherheitslücken wie zu umgehen sind und sie meldest - aber wenn es so präzise ausfällt oder ausfallen muss (weil es nur eine kleine Lücke ist) und Missbrauchsgefahr seitens der User besteht möchte ich dir doch sehr ans Herz legen, dich direkt mittels Ticket an den Support zu wenden um den Bug zu melden.

Wenn du einen Bug noch einmal testen willst um einen Irrtum deinerseits auszuschließen oder andere Formen (wie z. B. zwei Filter, die zusammen umgangen werden müssen) zu testen solltest du dich vorher an einen Mod wenden (wie bereits erwähnt).

Jedoch öffentlich lang und breit zu erklären, wie man einen Bug ausnutzt ist sicher der falsche Weg!!

[Geist von Fool]

Der Bug ist bekannt, schon seit langem, und es hat einen Grund, warum erst in den letzten Tagen alle möglichen Trittbrettfahrer, die von alleine nicht drauf gekommen wären, ihn nun ausnutzen: rücksichtslose aufmerksamkeitsgeile Angeber, die meinen, hier im Forum eine möglichst genau Anleitung liefern zu müssen. Wer auch nur mit einer halben Gehirnzelle drüber nachdenkt was er macht, meldet solche Geschichten über ein Support-Ticket und erwähnt die Durchführbarkeit allerhöchstens allgemein... und bei einer entsprechenden Anfrage VOR dem Testen bei einem Mod hätte man dann evtl. auch erfahren, dass die Geschichte absolut nicht neu ist. Oder auch nicht, aber solche Bugs gehören auch nicht mehr in den Aufgabenbereich von Moderatoren (schon allein, weil diese außer Bannen entsprechender Accounts, was hier ja zum Glück auch passiert ist, nichts unternehmen können).

[BassDriver6000]

Ich nehme auch einmal Stellungnahme dazu. So wie ich es sehe, läuft Freewar mit GET, anstatt mit POST. Selbst, wenn es mit Frames verdeckt wird, sieht man es immer noch unten in der Leiste. Es wäre erheblich sicherer, wenn du POST anstatt GET verwenden würdest. Und mir ist auch bewusst, dass du dann auch etliche Zeilen Code ändern müsstest, aber wenn dir das Spiel wichtig ist(was es dir auch ist, merkt man ja(im Positiven gemeint(achja, ich liebe Klammern! xD))), dann machst du dies auch.

HTTP-Request-Methoden

* GET ist die gebräuchlichste Methode. Mit ihr werden Inhalte vom Server angefordert.
* POST ähnelt der GET-Methode, nur dass ein zusätzlicher Datenblock übermittelt wird. Dieser besteht üblicherweise aus Name-Wert-Paaren, die aus einem HTML-Formular stammen. Grundsätzlich können Daten auch mittels GET übertragen werden (als Argumente im URI), aber die Übertragung der Argumente erfolgt bei POST diskret (wichtig bei sensiblen Daten), und die zulässige Datenmenge ist deutlich größer.
* HEAD weist den Server an, die gleichen HTTP-Header wie ein GET oder POST, nicht jedoch den eigentlichen Dokumentinhalt selbst zu senden. So kann zum Beispiel schnell die Gültigkeit einer Datei im Browsercache geprüft werden.
* PUT dient dazu, Dateien unter Angabe des Ziel-URIs auf einen Webserver hochzuladen. Heute kaum noch implementiert (vergl. dazu WebDAV), war es in der Anfangszeit des WWW eine tatsächlich genutzte Möglichkeit.
* DELETE löscht die angegebene Datei auf dem Server. Dies ist heutzutage ebenso wie der PUT-Befehl kaum noch implementiert bzw. in der Standardkonfiguration aktueller Webserver abgeschaltet.
* TRACE liefert die Anfrage so zurück, wie der Server sie empfangen hat. So kann überprüft werden, ob und wie die Anfrage auf dem Weg zum Server verändert worden ist - sinnvoll für das Debugging von Verbindungen.
* OPTIONS liefert eine Liste der vom Server unterstützen Methoden und Features.
* CONNECT wird von Proxyservern implementiert, die in der Lage sind, SSL-Tunnel zur Verfügung zu stellen.

HTTP GET [Bearbeiten]

Hier wird zur Übertragung von Daten der sogenannte ”Anfrage-Teil”œ des Uniform Resource Identifiers, der mit dem Zeichen ? beginnt, genutzt.

Oft wird diese Vorgehensweise gewählt, um eine Liste von Parametern zu übertragen, die die Gegenstelle bei der Bearbeitung einer Anfrage berücksichtigen soll. Häufig besteht diese Liste aus mit dem Zeichen & getrennten Wertepaaren, die je aus einem Parameternamen, dem Zeichen = und dem Wert des Parameters bestehen. Seltener wird das Zeichen ; zur Trennung von Einträgen der Liste benutzt.[1]

Ein Beispiel: Auf der Startseite von Wikipedia wird in das Eingabefeld der Suche ”Katzen”œ eingegeben und auf die Schaltfläche ”Artikel”œ geklickt. Der Browser sendet folgende oder ähnliche Anfrage an den Server:

GET /wiki/Spezial:Search?search=Katzen&go=Artikel HTTP/1.1
Host: de.wikipedia.org
”¦

Dem Wikipedia-Server werden zwei Wertepaare übergeben:
Argument Wert
search Katzen
go Artikel

Diese Wertepaare werden in der Form

Argument1=Wert1&Argument2=Wert2

mit ? an die geforderte Seite angehängt.

Dadurch ”weiß”œ der Server, dass der Nutzer den Artikel Katzen betrachten will. Der Server verarbeitet die Anfrage, sendet aber keine Datei, sondern leitet den Browser mit einem Location-Header zur richtigen Seite weiter, etwa mit:

HTTP/1.0 302 Moved Temporarily
Date: Fri, 13 Jan 2006 15:12:44 GMT
Location: http://de.wikipedia.org/wiki/Katzen
”¦

Der Browser befolgt diese Anweisung und sendet aufgrund der neuen Informationen eine neue Anfrage, etwa:

GET /wiki/Katzen HTTP/1.1
Host: de.wikipedia.org
”¦

Und der Server antwortet und gibt den Artikel Katzen aus, etwa:

HTTP/1.0 200 OK
Date: Fri, 13 Jan 2006 15:12:48 GMT
Last-Modified: Tue, 10 Jan 2006 11:18:20 GMT
Content-Language: de
Content-Encoding: gzip
Content-Type: text/html; charset=utf-8

.”¹”¦”¦.\ZKs.¹.>Û¿.ž-[¶KÃ!õ²ÌÇlô²­¬ìuVò*ÉÖ-
3.r`ÃŽ+.F”xÊ!ÿ ×.ý.ö\7ý”œü”™t.ó"9ÔÊ”ºÄ®.A.ÐÝ
”¦

Der Datenteil ist natürlich viel länger, wird hier jedoch ausgelassen, da nur das Protokoll betrachtet wird. (Er ist hier aufgrund der im Beispiel genutzten gzip-Komprimierung ohnehin unlesbar.)

HTTP POST [Bearbeiten]

Im folgenden Beispiel wird wieder der Artikel Katzen angefordert, doch diesmal verwendet der Browser aufgrund eines modifizierten HTML-Codes (method="POST") eine POST-Anfrage. Die Variablen stehen dabei nicht in der URI, sondern gesondert im Body-Teil, etwa:

POST /wiki/Spezial:Search HTTP/1.1
Host: de.wikipedia.org
Content-Type: application/x-www-form-urlencoded
Content-Length: 24

search=Katzen&go=Artikel

Auch das versteht der Server und antwortet wieder mit beispielsweise Folgendem:

HTTP/1.0 302 Moved Temporarily
Date: Fri, 13 Jan 2006 15:32:43 GMT
Location: http://de.wikipedia.org/wiki/Katzen
”¦

Ist für diejenigen, die Unwissend sind .


Im Klartext: GET weg, POST her.

MfG Dark Guild

[halbleiter]

Die Unwissenden verstehen nachher sicher nicht viel mehr ...
Aber kann mir auch grad nicht erklären, wie alleine durch das Hochhalten eines manipulierten Eheringes Geldabknöpfen möglich sein soll.

Krasse Sache.

Gruss

[Piffi]

Also, es ist einfach so, dass man nicht überall POST benutzen kann, weil man ja dafür -wie du auch gesagt hast- ein Formular benötigt. Jetzt guck dir die paar Sachen doch mal an. Willst du da überall ein Formular hinquetschen? Und bei em Goldgeben wird doch auch POST benutzt. So wie ich das sehe ist das voll ausgenutzt Und POST ist auch manipulierbar, zwar nicht so leicht, aber wers möchte Eine einfache Umfrage z.B. kann per <input type="hidden" name="bla" value="bla2" /> dir auch Geld übertragen....
lg

[BassDriver6000]

Pfiffi, da steht aber:

Dieser besteht üblicherweise aus Name-Wert-Paaren, die aus einem HTML-Formular stammen [...]


Das heißt es muss nicht aus einem HTML-Formular stammen, wird es aber oft


Was ich eigentlich mit dem Posting bewirken wollte, ist ganz einfach das Freewar sicherer wird.

[SiriusKaiba]

Wie ist das eig. mit Fremdlinks an der alten Eiche?

[Kauket]

in w6 werden die von den mods entfernt.

[damh]

Hmm, den Bug hatte ich doch schon vor 8 Monaten gemeldet

Und ja über die POST-Methode ist das Problem mit den Umleitungen lösbar, aber nur zum Teil, da man selbst diese Ausnutzen kann. Selbiges hatte ich entsprechend vor 8 Monaten ebenfalls gezeigt. Das Problem komplett zu beseitigen ist nicht ganz trivial.

Gruß damh