HALF-LIFE PORTAL
Your Gate To Valve's Games www.hl-forum.de
PORTAL
FORUM
LOGIN
User oder E-mail:


Passwort:


oder
Registrieren
Passwort vergessen?
OpenID-Login
MISC
PARTNER

TF2 Crafting

Special Artworks by
Hayungs

Link us:
HL PORTAL

Support us:


HLPortal
auf Facebook

›› Willkommen!   ›› 90.573.687 Visits   ›› 18.318 registrierte User   ›› 8 Besucher online (0 auf dieser Seite)
23.788 Themen, 325.166 Beiträge  
    FORUM 

Beitrag anzeigen

Hier kannst du einen Beitrag einzeln betrachten

Thread


Autor Beitrag
# 1
HLP - Programmierer
Nachricht offline
Hound Eye
179 Punkte
Dabei seit: 28.09.2011
258 Beiträge
Ich muss timmy_cz Recht geben: es ist eine Sicherheitslücke (wenn auch nicht eine super kritische, aber es ist eine). HTML verwenden schön und gut, da hat ja auch niemand was dagegen. Dass Valve allerdings Script-Tags (ganz ehrlich: wozu braucht ein Eintwickler in einer Ankündigung JavaScript?) zulässt geht in meinen Augen gar nicht.

Was wäre theoretisch möglich: irgendwer kommt auf welchem Wege auch immer an die Account-Daten eines Entwicklers. Nun muss er nur noch eine Ankündigung schreiben mit einer reißerischen Überschrift, auf den viele Nutzer klicken.
Nun kann er:
- Ein verseuchtes Flash-Objekt laden
- Den Nutzer auf eine verseuchte Seite weiterleiten
- Dem Nutzer die Steam-Login Seite vorgaukeln (ohne, dass eine andere Seite geladen werden müsste!), er solle doch bitte mal seine Login-Daten eingeben. Der gewöhnliche Nutzer würde das vielleicht hinterfragen, aber viele würden sie dennoch eingeben. (Ich weiß, es gibt immer noch Steam Guard, aber da es bestimmt Leute gibt, die ihre Logindaten auch auf anderen Seiten verwenden war es dennoch ein Gewinn für den Angreifer)
- ...?

Und aus oben genannten Fall sollte Valve zumindest alle Möglichkeiten von XSS Attacken entfernen und nicht den Entwicklern freie Fahrt lassen.

Und der Community-Ban ist meiner Meinung nach nicht gerechtfertigt, da er das System nicht missbraucht hat, um Schaden anzurichten, sondern um öffentlich auf ein Problem hinzuweisen.
Als Extrem-Beispiel: Edward Snowden hat auch Lücken im Sichherheitskonzept der NSA missbraucht, um die Öffentlichkeit auf Missstände hinzuweisen, nicht um die Infos teuer an den FSB zu verkaufen. Ist der Versuch der USA, ihn mundtot zu machen, gerechtfertigt?
[Beitrag wurde 3x editiert, zuletzt von Mator am 17.06.2014, 23:16]
17.06.2014, 23:14 Uhr Anzeigen

Sections:  HLP  Board  Mods  Steam      Games:  HL  Op4  HLBS  HL2  HL2:Ep1  HL2:Ep2  Prtl  TF2  TFC  CS  DoD  L4D  Gunman
    USER ONLINE 
Insgesamt sind 8 Benutzer online. Davon sind 0 registriert:
    SITE OPTIONS 
- Zu Favoriten hinzufügen
- Als Startseite festlegen (IE only)
- Fehler auf dieser Seite?