HALF-LIFE PORTAL
Your Gate To Valve's Games www.hl-forum.de
PORTAL
FORUM
LOGIN
User oder E-mail:


Passwort:


oder
Registrieren
Passwort vergessen?
OpenID-Login
MISC
PARTNER

TF2 Crafting

Special Artworks by
Hayungs

Link us:
HL PORTAL

Support us:


HLPortal
auf Facebook

›› Willkommen!   ›› 95.009.010 Visits   ›› 18.316 registrierte User   ›› 18 Besucher online (0 auf dieser Seite)
23.789 Themen, 325.181 Beiträge  
    FORUM 

Thema-Ansicht


Forum > Half-Life Portal > News > Steam: Sicherheitslücke in Steam-URLs entdeckt
Status: Offen
42 Beiträge
Letzter Beitrag Seiten (3):  « 1 [2] 3 »


Autor Beitrag
# 16
Nachricht offline
Vortigaunt
681 Punkte
Dabei seit: 12.02.2009
388 Beiträge
Zitat:
Original von Northernstar

Seh ich nicht Tragisch..seit das (übrigens extrem lästige) Steamquard eingeführt wurde kann nicht mehr viel passieren.......


Korrigiert mich wenn ich falsch liege - aber Steamguard hat damit doch nicht wirklich viel zutun? Schützt es nicht nur vor Account-Diebstahl? ..was jetzt nicht wirklich in Zusammenhang mit der Installation von Schadsoftware auf einem PC steht.
17.10.2012, 12:56 Uhr Anzeigen
# 17
Nachricht offline
Headcrab
0 Punkte
Dabei seit: 05.01.2011
281 Beiträge
Zitat:
Original von blackAngel.it

ich kann ja nachvollziehen, wie das spiel gestartet wird ohne dass der user das will, aber wieso sollte das spiel ne schadhafte batchdatei erstellen, ohne das spiel selbst zu manipulieren?


Über diese "Steamlinks" kann man glaube ich nicht nur das Spiel starten, sondern auch gleich einen Server joinen. Dieser könnte dann eventuell Skripte durch Maps auf deinen Rechner laden. Muss nicht so stimmen, Könnte mir aber vorstellen, dass es so oder so ähnlich funktioniert.
@MrKohlenstoff
Da hast du komplett recht. Steamguard schützt nur vor Accountdiebstahl und das nicht einmal auf eine ziemlich sichere Weise, denn wenn man das selbe Passwort für Steam und für sein E-Mailkonto benutzt, kommen die Datendiebe trotzdem an deinen Steamaccount.
17.10.2012, 13:54 Uhr Anzeigen
# 18
Nachricht offline
Shock Trooper
6.941 Punkte
Dabei seit: 18.06.2008
2.567 Beiträge
@pepper08: Nein, man kann mit den Steam-links auch ohne ein spiel zu starten einen buffer-overflow auslösen, und das bedeutet dass man auf dem betroffenen rechner eigentlich alles machen kann (zumindest sofern der angemeldete nutzer die berechtigung dazu hat oder bekommen kann).
17.10.2012, 16:57 Uhr Anzeigen
# 19
Nachricht offline
Barnacle
454 Punkte
Dabei seit: 22.03.2010
519 Beiträge
Zitat:
Original von icbm

Bei XP ist das natürlich kein Problem, weil das eigentlich halbwegs brauchbare Sicherheitskonzept per Standardeinstellungen quasi umschifft wird, aber bei Vista und 7 sollte doch zumindest so eine "Chef, so ein Typ namens Steam will was am System ändern"-Meldung kommen, die man bestätigen muss? Ansonsten ist doch bestenfalls das Benutzerkonto betroffen...


Bei Windows 7 kommen solche Meldungen sehr selten

Und bei Vista waren diese Meldungen derart häufig das ich da dieses Systhem Irgendwann ganz einfach Deaktiviert hatte
17.10.2012, 17:11 Uhr Anzeigen
# 20
Nachricht offline
Headcrab
0 Punkte
Dabei seit: 29.06.2010
17 Beiträge
Naja, wer irgendwelche 100 Zeichen lange Steam:-Links auf komplett fremden Webseiten anklickt sollte sich nicht wundern wenn sowas passiert. Und das scheint mir die einzige Methode zu sein.
Aber ist natürlich trotzdem ein Problem, gibt ja genug PC-Nutzer die komplett sorglos surfen.
17.10.2012, 18:40 Uhr Anzeigen
# 21
Nachricht offline
Bullsquid
2.127 Punkte
Dabei seit: 16.07.2009
1.300 Beiträge
@Horst: Der Bericht ist vom 15. Oktober, was hast du dir erwartet? Sowas zu evaluieren und dann eine ordentliche Antwort zu bringen braucht etwas Zeit. Wir reden hier von keinem nebensächlichen Problemchen, sondern von einer ordentlichen Sicherheitslücke. Ein "Danke für den Hinweis, wir prüfen das jetzt." ist meiner Meinung nach eine ziemlich beschissene Antwort. Wenn, dann soll da gleich eine ordentliche Meldung her, mit Plänen für die Zukunft.

Aber warum antworte ich dir überhaupt? So wie deine Kommentare hier immer klingen scheinst du ja einen auf Anti-Fanboy zu machen und bist damit aber kein Stück weniger nervig, als die Lobhudeler.
[Beitrag wurde 2x editiert, zuletzt von λ Blutspender λ am 17.10.2012, 18:56]
17.10.2012, 18:52 Uhr Anzeigen
# 22
Nachricht offline
Bullsquid
1.051 Punkte
Dabei seit: 05.02.2005
389 Beiträge
Zitat:
Original von alex0809

Naja, wer irgendwelche 100 Zeichen lange Steam:-Links auf komplett fremden Webseiten anklickt sollte sich nicht wundern wenn sowas passiert. Und das scheint mir die einzige Methode zu sein.
Aber ist natürlich trotzdem ein Problem, gibt ja genug PC-Nutzer die komplett sorglos surfen.


Man kann ja einen URL-Shortener benutzen (wie goo.gl o.ä.), da weiß man dann schon nicht unmittelbar was sich hinter dem Link verbirgt.

Ansonsten verweist das Dokument auch noch auf ein Proof of Concept Video.
17.10.2012, 18:55 Uhr Anzeigen
# 23
Nachricht offline
Headcrab
0 Punkte
Dabei seit: 17.09.2012
138 Beiträge
Zitat:
Original von λ Blutspender λ

Ein "Danke für den Hinweis, wir prüfen das jetzt." ist meiner Meinung nach eine ziemlich beschissene Antwort.


Wieso soll das eine beschissene Antwort sein, demjenigen, der das gemeldet hat, wenigstens den Eingang und die Bearbeitung des Sachverhaltes zu bestätigen. Sowas gehört eigentlich zum guten Ton... wenn schon andere die Arbeit machen, dann kann man wenigstens mal Danke sagen.
17.10.2012, 23:19 Uhr Anzeigen
# 24
Nachricht offline
Bullsquid
2.127 Punkte
Dabei seit: 16.07.2009
1.300 Beiträge
Zitat:
Original von RATman

Zitat:
Original von λ Blutspender λ

Ein "Danke für den Hinweis, wir prüfen das jetzt." ist meiner Meinung nach eine ziemlich beschissene Antwort.


Wieso soll das eine beschissene Antwort sein, demjenigen, der das gemeldet hat, wenigstens den Eingang und die Bearbeitung des Sachverhaltes zu bestätigen. Sowas gehört eigentlich zum guten Ton... wenn schon andere die Arbeit machen, dann kann man wenigstens mal Danke sagen.


Oder aber man setzt sich gleich an eine ordentliche Problemlösungsstartegie, die man dann, zusammen mit Verweis und Dank an die Problementdecker, groß veröffentlicht.

Wenn ich an so einem Problem arbeiten würde und alles was daher kommt wäre ein "Jo, Danke", würde ich mich etwas verarscht fühlen. Ich würde wollen, dass man direkt Kontakt mit mir aufsucht um die Details zu besprechen und an der Lösung zu arbeiten.

Und wer weiß, vielleicht machen sie das ja auch schon. Nur weil keine öffentliche Antwort rauskam, heißt das ja nicht, dass nicht schon eine Zusammenarbeit stattfindet.
[Beitrag wurde 1x editiert, zuletzt von λ Blutspender λ am 17.10.2012, 23:26]
17.10.2012, 23:25 Uhr Anzeigen
# 25
Nachricht offline
Headcrab
0 Punkte
Dabei seit: 17.09.2012
138 Beiträge
Es war nicht von einer öffentlichen Antwort die Rede, sondern von einer Rückmeldung an die Jungs die das Entdeckt haben. Und ein "jo Danke, wir schauen gleich mal rein" ist ein ganzes Stück mehr, als das was nun bisher kam, nämlich nix. Da würde ich mir noch viel mehr verarscht vorkommen, was wohl auch der Grund war, das dann zu veröffentlichen.
[Beitrag wurde 2x editiert, zuletzt von RATman am 17.10.2012, 23:41]
17.10.2012, 23:40 Uhr Anzeigen
# 26
Nachricht offline
Bullsquid
2.127 Punkte
Dabei seit: 16.07.2009
1.300 Beiträge
Zitat:
Original von RATman

Es war nicht von einer öffentlichen Antwort die Rede, sondern von einer Rückmeldung an die Jungs die das Entdeckt haben. Und ein "jo Danke, wir schauen gleich mal rein" ist ein ganzes Stück mehr, als das was nun bisher kam, nämlich nix. Da würde ich mir noch viel mehr verarscht vorkommen, was wohl auch der Grund war, das dann zu veröffentlichen.


Und das weist du woher? Ohne öffentliche Stellungnahme kann ja keiner wissen, was hinter den Fassaden los ist.
18.10.2012, 01:55 Uhr Anzeigen
# 27
Nachricht offline
Hound Eye
331 Punkte
Dabei seit: 06.09.2012
464 Beiträge
Naja, es wäre ziemlich dämlich, wenn Valve seinen Kunden nichtmal signalisiert, dass sie an der Schließung der Sicherheitslücke arbeiten.

Das was im Moment bei mir ankommt: Valve ist es vollkommen egal, dass andere Steam nutzen um die Computer der Nutzer zu hacken

Hochmut kommt vor dem Fall...
18.10.2012, 13:21 Uhr Anzeigen
# 28
Nachricht offline
Alien Grunt
5.444 Punkte
Dabei seit: 19.04.2009
2.476 Beiträge
Zitat:
Original von HorstMcDonald

Naja, es wäre ziemlich dämlich, wenn Valve seinen Kunden nichtmal signalisiert, dass sie an der Schließung der Sicherheitslücke arbeiten.


Das würde einem "Hey schaut mal, am unteren rechten Rockzipfel ist ein Loch was wir gerade stopfen, wenn irgendjemand da drin noch rumstochern will, nur zu!"

Es derart öffentlich zu machen das es ein Problem mit der Steam URL gibt würde die Leute ja direkt auf den Fehler lenken, was ggf größeres Chaos und/oder mehr Schaden bedeutet.
[Beitrag wurde 1x editiert, zuletzt von EagleWatch am 18.10.2012, 14:14]
18.10.2012, 14:13 Uhr Anzeigen
# 29
Nachricht offline
Hound Eye
331 Punkte
Dabei seit: 06.09.2012
464 Beiträge
Also die News zur Steam URL habe ich gestern allein auf 5 deutschen Computerseiten gelesen. Bei anderen Firmen ist man es gewohnt, dass sie was dagegen unternehmen. Bei Valve hat man inzwischen Angst, dass es noch viel mehr Sicherheitslücken gibt.

Was mit meinen Kreditkarteninfos passiert ist die Valve geklaut wurden weiß ich bis heute nicht...
18.10.2012, 14:57 Uhr Anzeigen
# 30
Nachricht offline
Headcrab
0 Punkte
Dabei seit: 16.06.2010
49 Beiträge
Eine kleine Steam-FL Fernsteuerung:
Offline
Away
Busy
Looking for play
Looking for trade
Online

wenn ihr einen link zum adden senden wollt:
steam: //friends/add/[community-id]
18.10.2012, 15:13 Uhr Anzeigen
nach oben
42 Beiträge

Seiten (3):  « 1 [2] 3 »


Gehe zu:  feed_mini Beiträge: RSS, RSS2, ATOM

Sections:  HLP  Board  Mods  Steam      Games:  HL  Op4  HLBS  HL2  HL2:Ep1  HL2:Ep2  Prtl  TF2  TFC  CS  DoD  L4D  Gunman
    USER ONLINE 
Insgesamt sind 18 Benutzer online. Davon sind 0 registriert:
    SITE OPTIONS 
- Zu Favoriten hinzufügen
- Als Startseite festlegen (IE only)
- Fehler auf dieser Seite?