Schwerer Sicherheitsfehler in Fusionsdurchführung. Sofort Fusionsrunde abbrechen!

Als Gast sind dir nicht alle Inhalte und Funktionen dieses Forums zugänglich.
Um das Forum im vollen Umfang nutzen zu können, registriere dich bitte.
  • Ich habe gerade soo einen Hals und muss mich kurz hier abreagieren. Sry dafür.


    Fusion in v6:

    Zum Bestätigen der Zielauswahl einer Fusion wurden in v6 an den Server mit POST geschickt: Id des Zielservers, langes server-generiertes einzigartiges Sicherheitstoken.


    Fusion in v7: Es wird Id des Zielservers und das Länderkürzel mit POST an den Server geschickt. Token gibt es nicht. Die Anfrage funktioniert auch mit GET!! WTF ?


    Die GF weiß spätens seit diesem Thread Warnung! Geheimer Trick ermöglicht Kontrolle fremder Accounts! Schutzmaßnahmen inside. , dass Accounts ohne Chance auf Abwehr dazu gebracht werden können, automatich GET Anfragen im Hintergrund auszuführen. Das heißt, ein böser Spieler kann ALLE Account in ein Zieluni seiner Wahl schicken!


    Die aktuelle Fusion sollte abgebrochen werden, bis das behoben ist!

  • ach was sind schon paar sicherheitsfehler bei ogame ich bitte dich da wird wsl drüber hinweg gesehen und nur leicht geschmunzelt


    das errinert mich an die story mit dem boardacc wo man den link geschickt hat vom thread und der andere mit dem geschickten forum account dann eingeloggt war

  • dieses token geschwurbel braucht ogame nicht! :S

    Meine Posts enthalten, soweit mir bekannt, faktisch korrekte Auflistungen von Tatsachen.

    Die persönlichen Ableitungen und Schlussfolgerungen des Einzelnen die sich aus diesen Fakten ergeben können,

    liegen zu keinem Zeitpunkt in meiner Hand und sind somit weder von mir gewollt, beabsichtigt, geschweige denn in irgendeiner Art vorhersehbar.

    <3

  • Vorsichtig nachgefragt: Ist es wirklich gewinnbringend für OGame (und die Community) diesen Fehler direkt öffentlich zu posten?

    Vielleicht wäre eine Nachricht an SirsSchwester und die GAs für den Anfang besser gewesen.

    weil diese Probleme im gesamten Code verbreitet sind und man sie immer wieder macht...

    Meine Posts enthalten, soweit mir bekannt, faktisch korrekte Auflistungen von Tatsachen.

    Die persönlichen Ableitungen und Schlussfolgerungen des Einzelnen die sich aus diesen Fakten ergeben können,

    liegen zu keinem Zeitpunkt in meiner Hand und sind somit weder von mir gewollt, beabsichtigt, geschweige denn in irgendeiner Art vorhersehbar.

    <3

  • Vorsichtig nachgefragt: Ist es wirklich gewinnbringend für OGame (und die Community) diesen Fehler direkt öffentlich zu posten?

    Vielleicht wäre eine Nachricht an SirsSchwester und die GAs für den Anfang besser gewesen.

    Grundsätzlich sicher. Wenn die selben elementaren Fehler aber wieder und wieder auftreten, kann man man nicht von "Versehen" ausgehen. Es wurde einfach billigend in Kauf genommen und somit ist es mehr eine Kritik an der Vorgehensweise als eine Bugmeldung.

  • Grundsätzlich sicher. Wenn die selben elementaren Fehler aber wieder und wieder auftreten, kann man man nicht von "Versehen" ausgehen. Es wurde einfach billigend in Kauf genommen und somit ist es mehr eine Kritik an der Vorgehensweise als eine Bugmeldung.


    Lool, ne. So etwas passiert einfach nur weil niemand über bösartige Benutzer nachdenkt.

  • Nein. Das ist hier kein Gentlemen Agreement zwischen User und Unternehmen. Der User meldet einen schwerwiegenden Programmierfehler wenn er ihn erkennt und da die GF kein Bounty Programm hat kann man ruhig das Wissen mit der Community teilen.

    Vorsichtig nachgefragt: Ist es wirklich gewinnbringend für OGame (und die Community) diesen Fehler direkt öffentlich zu posten?

    Vielleicht wäre eine Nachricht an SirsSchwester und die GAs für den Anfang besser gewesen.

  • Nein. Das ist hier kein Gentlemen Agreement zwischen User und Unternehmen. Der User meldet einen schwerwiegenden Programmierfehler wenn er ihn erkennt und da die GF kein Bounty Programm hat kann man ruhig das Wissen mit der Community teilen.

    Vorsichtig nachgefragt: Ist es wirklich gewinnbringend für OGame (und die Community) diesen Fehler direkt öffentlich zu posten?

    Vielleicht wäre eine Nachricht an SirsSchwester und die GAs für den Anfang besser gewesen.


    Nur weil es kein Geld oder Sonstiges für das finden von Sicherheitslücken gibt, ist es trotzdem nicht sehr Gentlemanlike so etwas gleich öffentlich zu machen.

    Dieser Beitrag wurde bereits 1 Mal editiert, zuletzt von Torben ()

  • Es ist nicht die erste und - ich lehne mich mal aus dem Fenster - auch nicht die letzte (gravierende) Sicherheitslücke, die von Dark sky gemeldet wird. Und wenn in der Vergangenheit mit nicht-öffentlichen Meldungen, formulieren wir es mal vorsichtig, suboptimal umgegangen wurde kann ich schon verstehen, warum man etwas so gravierende öffentlich macht. Zumal ja offensichtlich auch niemand hier im Board einen Zensurbedarf gesehen hat, wo man sonst an anderer Stelle durchaus schnell dabei ist.


    Da hilft es auch nicht, dass Sirs zwar den Post, der eine Nicht-Öffentlichkeit fordert liked - aber sonst nicht reagiert.

  • Es ist nicht die erste und - ich lehne mich mal aus dem Fenster - auch nicht die letzte (gravierende) Sicherheitslücke, die von Dark sky gemeldet wird. Und wenn in der Vergangenheit mit nicht-öffentlichen Meldungen, formulieren wir es mal vorsichtig, suboptimal umgegangen wurde kann ich schon verstehen, warum man etwas so gravierende öffentlich macht. Zumal ja offensichtlich auch niemand hier im Board einen Zensurbedarf gesehen hat, wo man sonst an anderer Stelle durchaus schnell dabei ist.


    Da hilft es auch nicht, dass Sirs zwar den Post, der eine Nicht-Öffentlichkeit fordert liked - aber sonst nicht reagiert.

    wart halt einfach mal ab, ob die GF reagiert oder nicht.. Wenn sie entspannt reagiert und nicht wegen dem DarkSky typischen Clickbait Thread in Panik verfällt, scheint man in Karlsruhe entweder schon sich des Problems und eines Fixes bewusst zu sein, weswegen weitere Fusionen das Problem nicht haben werden.. oder man wird nichts tun.. Bei der Thematik wohl eher Punkt 1.


    Fakt ist, dass bei der Fusion in .NL einiges schief gegangen ist und die GF diesbezüglich noch nachbessern muss und dieser Herausforderung ist sich dort auch jeder bewusst, bevor es mit den Fusionen weiter gehen kann.

  • Du tust so als ob andere "Features" und Fehler, egal ob bekannt oder unbekannt, egal ob relativ gravierend oder eher ungravierend, in der Vergangenheit schnell gefixt worden wären. Die letzten Fehlermeldungen wurden öffentlich sichtbar nur bearbeitet weil halt öffentlich nachgefragt und gepostet wurde.


    Wenn du hier von Clickbait sprichst wird man dich, und das restliche Team, auch als GF-Meinungskämpfer abstempeln dürfen. Entsprechen dann halt beide Bezeichnungen nicht der Realität.


    Zum Thema : waren die Fusis abgeschlossen, oder stehen kurzfristig noch weitere Fusis an? Wenn nicht ist das ganze Thema halt auch nicht so dringend. Fix dann nach der nächsten Fusion.

    Dieser Beitrag wurde bereits 1 Mal editiert, zuletzt von Even ()

  • Zeigt nur wie despektierlich GF und deren Comm-Team über die Freiwillige und kostenlose Arbeit von Dark und vielen Anderen denken.

    Nein, für derartige Fehlermeldungen sind wir nämlich sehr dankbar. Es zeigt aber auch, dass DarkSky trotz mehrfacher Bitte solche Fehler qualitativ gesichert via Ticket zu melden eben damit diese Fehler schnellstmöglich behoben werden können, lieber weiterhin die öffentliche Bühne mit clickbait Titeln sucht und bei derart schwerwiegenden Fehlern weiterhin wissentlich in Kauf nimmt, dass Leute diese Fehler aus Interesse nach dem Lesen seiner Meldungen ausnutzen - wie schon einige Male nach seinen Meldungen zum Schaden anderer Spieler geschehen.


    Wenn solche gravierenden Fehler trotz Meldung nicht gefixt werden, so habe ich vollstes Verständnis dafür, wenn wie neulich das öffentlich kritisiert wird aber daraus nun den neuen Standard werden zu lassen ist halt einfach kontraproduktiv wie von anderen in diesem Thread korrekt aufgezeigt.