Browser Game Betreiber können anscheinend passwörter einsehen

Re: Browser Game Betreiber können anscheinend passwörter einsehen

Diabolo2000 — Thu, 14 Oct 2010 14:07:44 GMT

Browser Game Betreiber können anscheinend passwörter einsehen

Ach was

Re: Browser Game Betreiber können anscheinend passwörter einsehen

Diabolo2000 — Thu, 14 Oct 2010 14:07:44 GMT

Browser Game Betreiber können anscheinend passwörter einsehen

Ach was

Das ist besonders lustig, weil die meisten Menschen nur ein Passwort verwenden, hat man das kann man sich beim Emailaccount einloggen und auf diversen Websites (Facebook) ein neues Passwort zuschicken lassen.

In der Regel muss man nicht mal ein Onlinegamebetreiber sein, es reicht aus beim Emailanbieter ein neues Passwort über die Geheimfrage zu bekommen.
Den Mädchennamen der Mutter oder das erste Haustier lassen sich leicht herausfinden.

Re(4): Browser Game Betreiber können anscheinend passwörter einsehen

kombipaket — Tue, 21 Sep 2010 15:27:37 GMT

Hashes sind ja per se nicht schlecht...

- Wenn sie sauber sind (MD5 und SHA1 sind das nicht mehr)
- Wenn sie gesalzen sind.

Daher kann es nicht sein, dass 2 selbe Kennworte auf denselben Hash gehen.

Re(3): Browser Game Betreiber können anscheinend passwörter einsehen

User220621 — Mon, 20 Sep 2010 14:03:16 GMT

Ja, konnte nur darüber berichten wie das war, als ich vor einigen Jahren als Jugendlicher bei einer Browsergamefirma mitgearbeitet habe. Aber irgendwelche Hashes (wenn auch nicht MD5) wird es vermutlich auch heute noch geben. Bin ja auch kein Programmierer.

Re(3): Browser Game Betreiber können anscheinend passwörter einsehen

kombipaket — Mon, 20 Sep 2010 11:10:08 GMT

Huuups...

Da warst schneller als ich: (Hoffentlich sagt das deine Frau nicht auch öfters )
http://forum.geizhals.at/t718210,6161632.html#6161632

Re(2): Browser Game Betreiber können anscheinend passwörter einsehen

kombipaket — Mon, 20 Sep 2010 11:08:59 GMT

Desolation war schneller als ich...

Du hast da mehrere Fehler:

meist sind die Passwrter als MD Hashes gespeicehrt

1.) MD5 ??? Man soll nicht mal mehr SHA-1 verwenden, und irgendwer verwendet MD5 für Security-Relevantes ??? Das traue ich nicht mal den "Ich werd jetzt Webmaster"-Typen zu.

2.) Hashes _ohne_ Salt ? Wie krank wäre das denn ?

3.) Meist ? Ich hoffe doch, dass seit den 70ern keiner mehr _sooo_ dumm ist.

Re(2): Browser Game Betreiber können anscheinend passwörter einsehen

kombipaket — Mon, 20 Sep 2010 11:06:13 GMT

Mal abgesehen davon, dass ich den Witz des TE-Postings nicht verstanden habe (siehe nonanet)....

Mal davon abgesehen, dass man zur Feststellung ob das Passwort ident ist nicht das Plaintext-Passwort haben muss

verstehe ich auch nicht |-/.

Wenn man schon brav hashed - dann verwendet man ja Salt, wie beispielsweise in der crypt-Funktion:


#define _XOPEN_SOURCE
#include <unistd.h>

char *crypt(const char *key, const char *salt);

Ich halte es für massiv unwahrscheinlich, dass genau bei 2 Benutzern mit demselben Kennwort zusätzlich dasselbe Salt verwendet wird... Wenn ja, sollte man sich über die Salt-Auswahl nochmals den Kopf zerbrechen...

Ich würde daher von Haus aus vermuten, dass dieselben Hashes bei Usern nur eines bedeuten können: Dass das Password im Plaintext gespeichert wurden
(denn wenn wer auf Security Wert legt, wäre gesaltet worden).

Re(2): Browser Game Betreiber können anscheinend passwörter einsehen

Desolationrob — Mon, 20 Sep 2010 09:21:10 GMT

dann mus sman sie eben salzen :D

Re: Browser Game Betreiber können anscheinend passwörter einsehen

User220621 — Tue, 14 Sep 2010 16:34:09 GMT

Es kann sein, dass sie es verschlüsselt haben, dennoch kann man sehen, ob zwei Accounts dasselbe Passwort verwenden.
meist sind die Passwrter als MD Hashes gespeicehrt und da geben selbe Passwort natürlich auch den sleben Hash Code aus. Vergleicht man die, kann man auch ganz einfach erkennen, ob es sich umdasselbe Passwort handelt.

Re(3): Browser Game Betreiber können anscheinend passwörter einsehen

Fly — Sat, 11 Sep 2010 04:17:11 GMT

Sischer, genauso wie die Nichtweitergabe von persönlicher Information...

Re(3): Browser Game Betreiber können anscheinend passwörter einsehen

zeddicus — Fri, 10 Sep 2010 06:26:23 GMT

Mhm. Und du glaubst daß da wer manuell die Passwörter und IP Adressen verglichen hat?

Re(2): Browser Game Betreiber können anscheinend passwörter einsehen

RSG — Wed, 08 Sep 2010 15:56:36 GMT

schon klar dass die betreiber zugriff auf die daten haben wenn sie möchten, allerdings dachte ich mir immer, dass die nicht einsichtnahme in fremde passwörter unter netiquette fällt.

Re(6): Browser Game Betreiber können anscheinend passwörter einsehen

Coolie — Wed, 08 Sep 2010 15:43:29 GMT

Re: Browser Game Betreiber können anscheinend passwörter einsehen

Fly — Wed, 08 Sep 2010 15:23:34 GMT

Well, DUUUUUH!

Mal davon abgesehen, dass man zur Feststellung ob das Passwort ident ist nicht das Plaintext-Passwort haben muss (wurde ja schon abgehandelt), aber kann jemand dem man Daten schickt auf diese Daten Zugriff haben?

Ist nur meine Antwort darauf "nonaned" oder ist das offensichtlich?

Re(3): Browser Game Betreiber können anscheinend passwörter einsehen

hellbringer — Wed, 08 Sep 2010 11:54:24 GMT

nicht mehr

Doch, noch immer.

Re(5): Browser Game Betreiber können anscheinend passwörter einsehen

RoboCop — Wed, 08 Sep 2010 11:50:54 GMT

ned gans

Re(2): Browser Game Betreiber können anscheinend passwörter einsehen

RSG — Wed, 08 Sep 2010 09:18:48 GMT

naja ich kanns schon verstehen dass die betreiber unsere acc. gesperrt haben - für die muss es ja wirklich nach multi account ausgesehen haben, gleiche ip, selbes passwort das deutet ja alles irgendwie darauf hin.

aber wie gesagt darum gehts mir eigentlich gar nicht, sondern um die passwort geschichte - aber das hat sich ja eh schon aufgeklärt

Re: Browser Game Betreiber können anscheinend passwörter einsehen

EGWPC — Wed, 08 Sep 2010 09:12:35 GMT

Da ich weiß dass mein bruder für unwichtige seiten das selbe passwort wie ich
verwendet ist die begründung des supports auch nachvollziebar.

nenn mir einen....

Re(5): Browser Game Betreiber können anscheinend passwörter einsehen

Justin B. — Tue, 07 Sep 2010 22:21:50 GMT

ja im cookie.
in der db immer noch plaintext.

klick auf die passwort vergessen funktion, dann weißt es.

Re(5): Browser Game Betreiber können anscheinend passwörter einsehen

Blender3D — Tue, 07 Sep 2010 20:31:20 GMT

Seit wann??
Vor ein paar Wochen fand er es noch lächerlich und wollte seine Benutzer dadurch erziehen.

Re(4): Browser Game Betreiber können anscheinend passwörter einsehen

AVS_reloaded — Tue, 07 Sep 2010 19:41:49 GMT

wenn ich mjy richtig verstanden hab, ist es verschlüsselt gespeichert

Re(3): Browser Game Betreiber können anscheinend passwörter einsehen

Noyx — Tue, 07 Sep 2010 19:22:11 GMT

Wurde nicht nur der Cookie dahingehend geändert?!

Re(2): Browser Game Betreiber können anscheinend passwörter einsehen

mastermind2004 — Tue, 07 Sep 2010 18:30:05 GMT

So isses... wollte ich auch gerade anmerken.

Re(2): Browser Game Betreiber können anscheinend passwörter einsehen

AVS_reloaded — Tue, 07 Sep 2010 18:29:11 GMT

passwörter in plaintext.
dieses forum übrigens auch.

nicht mehr

Re(2): Browser Game Betreiber können anscheinend passwörter einsehen

RSG — Tue, 07 Sep 2010 18:27:57 GMT

ok - das hab ich nicht gewusst, auf grund der antwort die ich vom support bekommen habe bin ich davon ausgegangen dass die einfach passwörter verglichen haben. Wenn dies auch mit den hash-werten funktioniert dann ist's eh kein problem.

Ich hab nur die email des supports seltsam gefunden und ihnen dass auch in meine antwort mitgeteilt.

Re: Browser Game Betreiber können anscheinend passwörter einsehen

Justin B. — Tue, 07 Sep 2010 18:24:54 GMT

und weiter?
viele betreiber speichern passwörter in plaintext.
dieses forum übrigens auch.
rapidshare auch
hotfile auch
usw usf

und ansonsten übern hashwert, wie hier schon geschrieben wurde

Re(2): Browser Game Betreiber können anscheinend passwörter einsehen

RSG — Tue, 07 Sep 2010 18:18:50 GMT

in diesem fall gehts um

http://www.wildguns.de/

Re: Browser Game Betreiber können anscheinend passwörter einsehen

[DUCK]Butcher — Tue, 07 Sep 2010 18:17:49 GMT

Naja Moment! Dass die Passwörter ident sieht äussert sich auch daraus, dass der Hash-Wert der Passwörter ident ist.
Somit muss der Betreiber in deinem Fall nicht unbedingt das Passwort als solches lesbar zur Verfügung haben.

Re: Browser Game Betreiber können anscheinend passwörter einsehen

[DUCK]Butcher — Tue, 07 Sep 2010 18:17:49 GMT

Naja Moment! Dass die Passwörter ident sind äussert sich auch darin, dass der Hash-Wert der Passwörter ident ist.
Somit muss der Betreiber in deinem Fall nicht unbedingt das Passwort als solches lesbar zur Verfügung haben.

Re: Browser Game Betreiber können anscheinend passwörter einsehen

Who_Knew — Tue, 07 Sep 2010 18:04:34 GMT

Welches Spiel?
Gabs bei hattrick auch - wurde angeblich geändert..

Browser Game Betreiber können anscheinend passwörter einsehen

RSG — Tue, 07 Sep 2010 18:03:28 GMT

Hi!

Bin gerade bei einem browser game wegen eines multi accounts gesperrt worden - stimmt zwar nicht da ein account meinem bruder gehört aber egal, darum gehts mir hier ja gar nicht.

Was mir aber wirklich ein bisserl sorgen gemacht hat war der grund für die Sperre, hab mit dem support gesprochen und der meinte, dass dies aufgrund der gleichen ip und des selben passworts geschehen ist.

Da ich weiß dass mein bruder für unwichtige seiten das selbe passwort wie ich verwendet ist die begründung des supports auch nachvollziebar.

Ich finds aber schon ein bisserl seltsam dass die betreiber so leicht einsicht in die passwörter der user haben - hätte mir eigentlich gedacht dass solche wichtigen daten verschlüsselt abgelegt werden aber anscheinend kann da jeder der möchte die passwörter der user auslesen.

fühl mi grad in meiner ansicht bestätigt dass es extrem wichtig is verschiedene passwörter für wichtige und unwichtige seiten zu haben

lg rainer