Da macht mir was ziemliche Sorgen ...

[Anonym]

Vor ca 1 Woche fing alles an. -Engel des Lichts- wurde in Welt 5 gehackt.

Vor 5 Tagen traf es mich selber. Eben habe ich von noch 2 Leuten erfahren (Enelya Isilra, Elrond Isilra) bei ihnen sei was am Acc verändert worden.

Hallo? Irgendwie macht das mir langsam Angst.

[Sayad]

Information erhalten?

[Anonym]

ähm und woher? Sorry, aber dass 4 grosse Acc's gehackt werden ... hm ... und ich denke nicht einer von uns 4 ist so doof, und schreit sein pw rum.

Mal ne Frage:

Ist es theoretisch möglich, in seinem Profil nen Prog reinzupacken?
D.h: Wenn jemand das Profil anwählt dann wird automatisch und ohne info nen Keylogger oder nen Trojaner gedownloadet. Wenn man da nicht ne gute Firewall und nen guten Virenschutz hat, wäre man dem einfach ausgeliefert.

[C R-w5-]

habe informationen aus einer quelle das anscheinend wirklich so etwas rumgeht...

[scooterNO1]

teoretisch ist alles möglich:) vielleicht spioniert dich immer ein admin aus, wenn du dich in FW anmeldest:D, aber es kann alles möglich sein:)

[Mheatus]

Allgemein gibt es Alles, doch meist ist es Selbstverschulden. Wer zum Beispiel sich bei einer Seite einträgt, auf dem ihm versprochen wird, nach einfachem Login über die Seite in Freewar zu gehen und dafür Mod zu werden, 1 Million GM zu haben und in Pornoking umbenannt zu werden, muss sich nicht wundern, wenn eine Stunde später kleine Kobolde seinen Account vermurksen.

Programme kann man nicht in sein Profil packen, doch gibt es auch Wege ohne Eingabe des Passwortes in den Account einer anderen Person zu kommen, aber auch hier gilt Selbstverschulden. Seiten, bei denen man sich nicht sicher schätzen kann, was passiert, sollte man nie im gleichen Browser öffnen, in dem man auch gerade in Freewar eingeloggt ist.

[Anonym]

Ich muss wohl kaum erwähnen, dass wohl keiner von uns 4en so doof gewesen wäre, und ne entsprechende Seite angewählt hätte, oder?

[Magnus Luterius]

Wie kannst du dir da so sicher sein? Es könnte eine plumpe FW-Nachrichtenseite gewesen sein, wie sie hier im Forum rumgeistert, oder eine verlinkte Seite zu einem Clanforum oder einer privaten Fan-Site.

Kannst du das absolut ausschließen, hast du noch deine Browserhistory?

[damh]

Über Bugs kann man teilweise gezielt an PWs bzw. die Datenbankgegenstücke kommen.
Alle PWs bis 14 Zeichen inklusive kann man mit normalem Aufwand (Standardrechner und Ausstattung) in ca. 30 Minuten knacken, wenn man die Daten aus der DB zur Verfügung hat.
Wenn also die PWs gleich beim ersten Versuch direkt getroffen wurden, liegt so eine Methode nahe.
Alternative sind Abhören des Netzverkehrs. Das ist für viele aber schon eine Überforderung.

Fremdseiten und Profile könnten tatsächlich ein Problem sein, daher sehe ich mir diese wenn überhaupt auch nur wie Mheatus sagte in einem anderen Browser an. Das Problem ist an sich bekannt, aber es zu beheben ist schwierig und/oder kostenaufwendig oder hätte zur Folge, dass keinerlei Bilder und Links mehr in Profilen erlaubt wären. Damit könnte man die Profile auch gleich ganz abschaffen
Gruß damh

[GSG-9_Lumpikus]

mich würde ja mal interessieren warum nur pw bis 14 zeichen was is mit den pw die darüber sind ab 15 zeichen wie lange brauch man da ?
man is also mit mehr als 15 zeichen des pw aus der sicheren seite ?
sind die zeichen egal die man hat ? oder wenn man z.b. zahlen drine hat erschwert es die pw abfrage ?

[damh]

Das war keine Aussage, wann ein PW sicher ist und wann nicht.

Wenn jemand über einen Bug an die PW-Hashs kommt, hat man immer ein Problem und zwar ein kräftiges. Schafft es jemand diese Hashs zu überschreiben, kommt die Person direkt an den Account dran, da sie praktisch das Paßwort ändern kann ohne das alte zu kennen.

Man kann eigentlich nur darauf hoffen, dass keine (Item-)Admins Items und/oder Felder mit oder ohne Absicht bauen, die man für so etwas missbrauchen kann.

In diesem Fall wäre hier z.B. interessant zu wissen, was in den Logs zu diesen Spielern steht. Wurden unnatürliche DB-Abfragen gemacht? ...

Da ich diese Daten alle nicht überprüfen kann (da ich momentan keine Adminrechte habe), müsst Ihr hoffen, dass sich ein Admin erbarmt und es testet und die Stecknadel im Heuhaufen findet Es handelt sich vielleicht nur um 1 DB-Abfrage. Täglich gibt es bei Freewar pro Welt deutlich mehr als 1 Million

Das ist ein allgegenwärtiges Problem von PHP-SQL-Kombinationen. Jedes Skript kann theoretisch alles. Dies eröffnet viele Möglichkeiten und Vorteile beim Programmieren, aber auch schlecht zu identifizierende und schwer vermeidbare Nachteile. Dies gilt allerdings sowohl für die Betreiber als auch die Angreifer

Gruß damh

[Vidar]

wie damh bereits in deinem anderen Thema meinte, sind von FW-Passwörter unsicher, da sie nach einem bestimmten Schema aufgebaut sind.

Ich habe dies selbst schon mitbekommen, da ich in mehreren Welten spiele und mir aufgefallen ist, dass da ein festes Schema sich hinter verbirgt, wie die PW's generiert werden.
Du sagtest selbst, dass dein PW, dass von Freewar zugeteilte PW ist, von daher denke ich mal, dass es bei den anderen auch so war (bei engel ist es auch so)

Von daher würde ich mir weniger Sorgen um die Acc's der Mehrheit machen, sondern um alle die, die es nicht schaffen, sich ein eigenes PW zuzulegen