Schwerer Sicherheitsfehler in Fusionsdurchführung. Sofort Fusionsrunde abbrechen!

Torben schrieb:

Nur weil es kein Geld oder Sonstiges für das finden von Sicherheitslücken gibt, ist es trotzdem nicht sehr Gentlemanlike so etwas gleich öffentlich zu machen.

War es denn sehr gentlemanlike, Dark Sky aus dem Closed Beta Server + Discord zu schmeißen, weil er genau solchen Sicherheitslücken nachgegangen ist?

AterBalbi schrieb:

Nein, für derartige Fehlermeldungen sind wir nämlich sehr dankbar.

Du vielleicht. Die Gameforge offensichtlich nicht, sonst hätte man Dark Sky nicht den Weg zur Tür gezeigt, sondern ihm zumindest einen DM-Coupon in die Hand gedrückt.

AterBalbi schrieb:

Es zeigt aber auch, dass DarkSky trotz mehrfacher Bitte solche Fehler qualitativ gesichert via Ticket zu melden eben damit diese Fehler schnellstmöglich behoben werden können, lieber weiterhin die öffentliche Bühne mit clickbait Titeln sucht

Na es zeigt sich eben auch, dass die GF nur dann reagiert, wenn man öffentlich ein Theater veranstaltet. Wie immer wird hier die Sache nur einseitig betrachtet und eigenartigerweise erwartet, die User sollten ihre Haltung ändern. Nochmal: Die GF hat ein größeres Interesse daran, die User nicht zu vergraulen. Das Signal zur Besserung muss von der Gameforge kommen, nicht von den Usern.

RiV- schrieb:

Das Signal zur Besserung muss von der Gameforge kommen, nicht von den Usern.

Ich würde auch niemals beschönigen, was alles aktuell massiv bei der Gameforge schief läuft, kritisiere ich ja bekanntlich öffentlich als auch intern.

Das ist aber dennoch kein Freifahrtschein, jeden derart kritischen Bug (Für den man in solchen Fällen zumindest etwas Ahnung davon haben sollte, was man tut und nicht spontan drüber stolpert) nun für jeden fein leserlich in solch einer Form präsentiert werden sollte.. denn wie gesagt: Dadurch wird erst das Problem erzeugt, dass die breite Masse von solchen Möglichkeiten erfährt und im Zweifel auch ausprobiert.

Daher gilt nach wie vor: Derart kritische Defects so präzise wie möglich und qualitativ zunächst per Ticket bzw. an das Community Management melden.. wenn diese kritischen Fehler nicht behoben werden/sich keiner dafür interessiert und im worst case dann sogar Spieler davon betroffen werden - was verhindert werden hätte können - DANN hat man jeden Grund zur Kritik.

Aber so halt nicht, das richtet nur noch mehr Schaden an.

AterBalbi schrieb:

Aber so halt nicht, das richtet nur noch mehr Schaden an.

Eigentlich wird der Schaden schon durch den Entwickler angerichtet, der simpelste Basics vergisst und so Arbeitszeit/Lebenszeit/Geld anderer verschwendet. Ggf. sollte die GF mal an der Wurzel des Problems anfangen und die Fehler bereits in der Konzeptionierungsphase sehen bzw. beheben, spätestens sollte soetwas jedoch beim eigentlich Programmieren des Features auffallen.

NoMoreAngel schrieb:

Eigentlich wird der Schaden schon durch den Entwickler angerichtet, der simpelste Basics vergisst und so Arbeitszeit/Lebenszeit/Geld anderer verschwendet. Ggf. sollte die GF mal an der Wurzel des Problems anfangen und die Fehler bereits in der Konzeptionierungsphase sehen bzw. beheben, spätestens sollte soetwas jedoch beim eigentlich Programmieren des Features auffallen.

Siehe dazu den ersten Punkt meines Kritik-Threads (Bugfest MCO und Third-Party-Tools), der übrigens immer noch angepinnt ist:

RiV- schrieb:

1. Das ganze Update quillt nur so von Bugs über. Der Zustand des Spiels ist nicht für eine Produktionsumgebung geeignet. Das wurde schon mehrmals vor dem Release, sowohl vor 7.0 als auch vor 7.1 von mehreren Spielern und Tool-Entwicklern angemerkt, die in der Closed Beta dabei waren. Es sind nicht nur unzählige Bugs im Spiel, die einfach nur unschön sind, sondern auch solche, die gamebreaking sind. Siehe Spieler im französischen Eventuni, der in einer Nacht 1,5 Mrd Punkten machte. Ich möchte mir überhaupt nicht ausdenken, was da noch für gravierende Exploits im Spiel schlummern. Die Verantwortlichen wurden mehrmals darauf hingewiesen, dass die Arbeit der OGame-Entwickler am Code unzureichend ist. Es gab mehrere gravierende Exploits in der Closed Beta, die mit einer "Pflaster drauf!"-Mentalität rausgepatcht wurden. Die miserable Programmierweise blieb aber und ist jetzt auf den Live-Servern.

Und diesen ausführlicheren Post aus demselben Thread:

RiV- schrieb:

Ich würde hier nochmal gerne Bezug zu den Punkten 1 und 2 aus meinem Eingangsposting nehmen und die Thematik aus meinem deaktivierten Post behandeln, ohne auf spezifische Bugs/Exploits einzugehen. Starten wir mit einem kleinen Exkurs:

Ein Browsergame wie OGame besteht u.a. aus zwei Teilen: Einer Benutzeroberfläche (UI / Frontend) und einem Backend. Die Hauptarbeit liegt beim Backend, das ist all das, was im Hintergrund auf dem Server passiert, unsichtbar für den User. Das UI bietet nur die Möglichkeit für den User, mit dem Backend zu kommunizieren. Dabei werden dem User Bilder und Schaltflächen angezeigt, die für ihn verständlich und intuitiv zu bedienen sind - bei einer Aktion des Users transformiert das UI diese Aktion in eine für das Backend verständliche Anfrage. Als Beispiel können wir das Flottenversenden nehmen: Der User wählt durch das UI Schiffe, Koords/Ziel und Mission und klickt auf "Flotte versenden". Dadurch wird eine Anfrage geformt und an den Server / an das Backend gesendet, das aus dieser Anfrage versteht, was es tun soll. Es erstellt eine fliegende Flotte mit gewählten Schiffen, gewähltem Ziel und gewählter Mission.

Wählt man bspw. als Ziel ein TF und möchte man dann als Mission "Angriff" wählen, dann lässt das UI das nicht zu, weil das keine gültige Mission ist für das gewählte Ziel. Aber dass das UI dies nicht zulässt ist nicht etwa eine Schutzmaßnahme, um ungewolltes Spielverhalten zu verhindern (d.h. Spieler greift TF an und farmt die Ress im TF ab, ganz ohne Recs), sondern diese Schranke im UI dient lediglich dazu, dem User eine angenehme Spielerfahrung zu ermöglichen, ohne ständig Fehlermeldungen anzuzeigen. Daher lässt das UI den User erst gar nicht die Mission "Angriff" wählen, wenn zuvor ein TF als Ziel gewählt wurde.

Diese Schranke im UI ist aber nicht ausreichend, um zu verhindern, dass ein Spieler tatsächlich ein TF angreift. Denn das UI und somit jegliche Anfragen an das Backend können nach Belieben manipuliert werden. Anfragen an das Backend können sogar ganz ohne das UI / mit einem benutzerdefinierten UI gemacht werden (so funktionieren bspw. Bots). Die eigentliche Schutzmaßnahme muss im Backend liegen. Der Server muss eine Anfrage auf Gültigkeit gemäß den Spielmechaniken überprüfen - und ggf. die Anfrage abweisen.

Wenn nun - um beim Beispiel des TFs zu bleiben - das UI die Mission "Angriff" verhindert, aber das Backend die Gültigkeit der Mission für das gewählte Ziel nicht überprüft, sondern die Anfrage bedingungslos durchwinkt, dann ist das gelinde gesagt eine miserable Programmierweise. Denn nun kann ein böswilliger User einfach die Schranken des UIs aushebeln oder einfach selbst manipulierte Anfragen an das Backend schicken.

Damit kommen wir auch zu meiner eigentlichen Kritik: Durch das ganze MCO zieht sich eben diese miserable Programmierweise. Spielelemente werden aus dem UI entfernt, sind aber im Backend noch verfügbar und daher für den User immer noch zugänglich. Man versucht kritische Bugs durch Schranken im UI zu fixen. Allem Anschein nach hat man elementare Teile des Spiels neuprogrammiert und das mit fehlendem Grundwissen wie das oben angeführte. Daher quillt das MCO auch so vor Bugs über, die man dann mit der beschriebenen "Pflaster drauf"-Herangehensweise versucht zu fixen.

Etwas grundlegendes muss sich an der Arbeit der Entwickler ändern. Die bisherige Arbeit ist nicht hinnehmbar und bezeugt deren Inkompetenz. Sie sind unfähig, das Problem in seiner ganzen Bandbreite zu verstehen, geschweige denn es zu lösen.

Alles anzeigen

Leider zieht sich diese miserable Programmierweise halt immer noch durch alle Versionen.

RiV- schrieb:

Torben schrieb:

Nur weil es kein Geld oder Sonstiges für das finden von Sicherheitslücken gibt, ist es trotzdem nicht sehr Gentlemanlike so etwas gleich öffentlich zu machen.

War es denn sehr gentlemanlike, Dark Sky aus dem Closed Beta Server + Discord zu schmeißen, weil er genau solchen Sicherheitslücken nachgegangen ist?

AterBalbi schrieb:

Nein, für derartige Fehlermeldungen sind wir nämlich sehr dankbar.

Du vielleicht. Die Gameforge offensichtlich nicht, sonst hätte man Dark Sky nicht den Weg zur Tür gezeigt, sondern ihm zumindest einen DM-Coupon in die Hand gedrückt.

AterBalbi schrieb:

Es zeigt aber auch, dass DarkSky trotz mehrfacher Bitte solche Fehler qualitativ gesichert via Ticket zu melden eben damit diese Fehler schnellstmöglich behoben werden können, lieber weiterhin die öffentliche Bühne mit clickbait Titeln sucht

Na es zeigt sich eben auch, dass die GF nur dann reagiert, wenn man öffentlich ein Theater veranstaltet. Wie immer wird hier die Sache nur einseitig betrachtet und eigenartigerweise erwartet, die User sollten ihre Haltung ändern. Nochmal: Die GF hat ein größeres Interesse daran, die User nicht zu vergraulen. Das Signal zur Besserung muss von der Gameforge kommen, nicht von den Usern.

Alles anzeigen

Kann man diesen Post bitte anpinnen? =]

Zu viele Beleidigungen in Richtung der Programmierer.

Das Problem ist bekannt und wird bearbeitet

Edit :

SirsSchwester schrieb:

Problem im Eingangspost wurde behoben wurde.

und verschoben in den Bug Bereich denn da gehören solche Meldungen hin

Edit by The Peace 09.04.2020

>> auf Wunsch von einem Fan

>> Labels hinzugefügt