Andererseits ist da ja auch noch der Steamguard...
Genau. Hast du dir mal das Bild angesehen, was ich etwas weiter oben gepostet habe?
Du denkst vielleicht so blöd ist keiner, ja? Genauso wie auch niemals jemand seine Kontonummer, seine Pin und 3 - 4 Tans in eine Eingabemaske auf einer Phishingseite eingibt... Oder das jemand seine Logindaten jemanden per Steamchat gibt, der sich als Valve Mitarbeiter ausgibt? Lies dich mal durch die entsprechenden Foren. Wie viele Leute es gibt, die auf sowas reinfallen bzw reingefallen sind. Aus den unterschiedlichsten Gründen. Unter gewissen Umständen schalten die Leute ihr Hirn komplett aus. Vor allem wenn etwas vermeintlich 100% sicher ist, oder wenn es etwas umsonst gibt. Außerdem gibt es auch noch genügend Leute, die sich mit solchen Dingen nicht auskennen. Die nicht wissen, worauf man achten muss. Und die sich blind auf solche Aussagen wie, "da kann garnichts passieren" verlassen. Apropos Blind: Was ist mit Sehschwachen Leuten? Welche Möglichkeit haben die, zu überprüfen ob etwas sicher ist, oder nicht?
Klar, kann man das Risko niemals auf Null setzen. Aber man muss es nicht auch noch künstlich erhöhen. Und durch solche Maßnahmen, durch die die Aufmerksamkeit der User ganz offensichtlich in die Irre geleitet wird, erhöht sich das Risiko deutlich!
Und das alles nur wegen dieser unsäglichen Accountbindung. Wären nicht alle meine Spiele an diesen Account gebunden, sondern nur die Communityfeatures davon betroffen, wären diese ganzen Sicherheitsdiskussionen überflüssig...
[Beitrag wurde 1x editiert, zuletzt von RATman am 19.02.2013, 11:30]
@RATman: Ein gewisses Maß an Aufgeklärtheit gehört im Netz einfach dazu. Wer es heute immer noch nicht schafft, sich selbst vor so einfachem Phishing, wie du es beschreibst, zu schützen, der fällt auch auf Methoden wie "VALVe"-Anfragen im Steam-Chat herein. Was das angeht ist dieses potenzielle Sicherheitsrisiko ein Tropfen auf den heißen Stein. Der Rest weiß, worauf er achten muss, nutzt NoScript und so weiter.
@RATman: Sobald man bei einem Login zusätzlich nach Emailadresse und Email Passwort gefragt wird, sollten doch bei jeden die Alarmglocken angehen.
Wer das dann auch noch angibt ist selber Schuld. Lernen durch Schmerz. Klingt vielleicht hart, aber so seh ich das nun mal.
Ich hab mich auch nicht verknüpft. Ich hab keine Lust jedes mal mein 16stelliges kryptisches Passwort heraus zu suchen. :|
[Beitrag wurde 2x editiert, zuletzt von tanfex am 19.02.2013, 17:54]
Und ihr meint, diese Phishing Seiten gibt es, weil sie so erfolglos sind? Der ganze Aufwand, obwohl nix dabei rumkommt? Ich schätze mal, das gerade die Aussicht auf ein paar Goodies (free Games ect.) die Sicht und den Verstand vernebeln. Gerade bei den jüngeren unter den Steamnutzern, die das mit Taschengeld finanzieren müssen.
Gerade wegen des fehlenden Verantwortungsbewusstsein in einer bestimmten Altersgruppe, finde ich die Null Toleranz Politik die bisher immer galt, am sichersten.
Keine Links anklicken (auch keine Buttons) und sich dort dann anmelden. Das gilt für Steam, Homebanking usw. Das mag etwas paranoid sein, aber es ist sicher.
Alles andere in die Richtung der Steam API sorgt nur dafür, das die Leute verunsichert werden, und im Zweifelsfalle eben doch auf so etwas reinfallen.
Die Antwort, ob das HLP im Falle eines Falles die Verantwortung übernimmt, habe ich bisher noch nicht gesehen...
Und solange die Verantwortung und damit der Schaden bei mir bleibt, entscheide ich auch selbst was für mich und meine Spielesammlung am sichersten ist.
Zumal sich für mich keinerlei Vorteile aus so einer Verknüpfung ergeben. Im Gegenteil: Ist die Registrierung an den SteamAccount gekoppelt (wie angekündigt) ist das eben einfach nur eine Maßnahme, um die Meinungsfreiheit einzugrenzen.
Das sauge ich mir übrigens nicht aus den Fingern, und es entspringt auch nicht meiner grenzenlosen Phantasie. Ähnliche Diskussionen, und eine nicht unerhebliche Abwanderungswelle gab es auch schon bei gmod...
[Beitrag wurde 1x editiert, zuletzt von RATman am 19.02.2013, 19:04]
Du kannst dich auch nach der Verknüpfung weiterhin mit deinen HLP-Logindaten einloggen.
Zitat: Ist die Registrierung an den SteamAccount gekoppelt (wie angekündigt) ist das eben einfach nur eine Maßnahme, um die Meinungsfreiheit einzugrenzen.
Ich denke deine Postings sind der beste Beweis dafür, dass wir nicht an der Unterdrückung von Meinungen interessiert sind.
Da habe ich in der Vergangenheit aber andere Erfahrungen gemacht.
Wozu bekomme ich denn Verwarnungen für Offtopicpostings, mit der Ankündigung zur Sperre im Wiederholungsfalle, während andere im selben Thema über Gott und die Welt reden, andere beleidigen, und dafür nix bekommen?
Und wieso antwortest du auf SOWAS und auf die wirklich wichtigen Dinge, die nicht nur mich, sondern vielleicht auch andere Interessieren würde, nicht? (wie Beispielsweise die Frage nach der Haftung)
"die Frage nach der Haftung?"
Das HLP ist nicht für unbedachte Handlungen anderer verantwortlich.
Beim Klick auf diverse Links (egal wer sie anbietet!), sollte immer Vorsicht geboten sein.
Wer sein Hirn auf Standby stellt, sollte auch die Konsequenzen tragen und nicht andere dafür verantwortlich machen.
Jede Seite kann mal gehackt werden, darum sollte man als User immer gewisse Dinge beachten (verzeiht, das ich sie jetzt nicht alle aufzähle).
Unbedachte (um nicht zu sagen, dumme und/oder verantwortungslose) Menschen gibt es immer und überall...es ist nicht Aufgabe der anderen, diese vor ihrer eigenen "Unbedachtheit" zu schützen und für sie die Verantwortung zu übernehmen.
(Menschen mit geistiger Behinderung außen vor gelassen, aber das ist ein anderes Thema).
und RATman:
Ich sehe es teilweise wie du...eine Opposition ist prinzipiell eine gute Sache, aber nur, wenn ihre Kritik, Vorbehalte etc. auch Hand & Fuss haben und NICHT zu haltlosen Unterstellungen verkommen.
Ich find es gut, dass du deine Bedenken geäußert hast in Bezug auf das Gmod-Forum, aber es geht eben zu weit, dem HLP gleiche Ziele vorzuwerfen und zu unterstellen, es ginge ihnen um Kontrolle der Meinungsfreiheit etc.!
Eine "Zwangskopplung", sofern das überhaupt geplant ist, kann ich jedoch auch nicht gutheißen!...nicht, weil ich dem HLP nicht vertraue...im Gegenteil!...aber allein die theoretische "Macht", Kritiker so effektiv verbannen zu können, finde ich sehr bedenklich.
Es ist eine prizipielle Geschichte, Systeme, welche auch nur die Möglichkeit einräumen die Meinungsfreiheit einzuschränken, nicht gutzuheißen.
"die Frage nach der Haftung?"
Das HLP ist nicht für unbedachte Handlungen anderer verantwortlich.
Beim Klick auf diverse Links (egal wer sie anbietet!), sollte immer Vorsicht geboten sein.
Wer sein Hirn auf Standby stellt, sollte auch die Konsequenzen tragen und nicht andere dafür verantwortlich machen.
Wie soll der Nutzer denn erkennen, dass die Seite gehackt wurde, wenn alles genau so aussieht wie sonst? Da reicht ein Buchstabendreher in der URL und wenn man den übersieht, dann ist es zu spät. Sowas täglich kontrollieren zu müssen ist doch unbrauchbar für Seiten in die man sich täglich einloggt.
Und erzähl mir nicht, dass es leicht ist ständig aufzupassen. Die Redakteure schaffen es hier ja nicht mal auf ernst gemeinte Fragen zu antworten, weil sie sie "übersehen". Wenn das schon nicht klappt, wie ernst nehmen sie dann hier wohl die Datensicherheit.
Einfach nur darauf verweisen, dass man sich ja nur bei Valve einloggt genügt nicht. Wer das immer noch nicht verstanden hat, sollte mal die letzten Beiträge lesen.
"die Frage nach der Haftung?"
Das HLP ist nicht für unbedachte Handlungen anderer verantwortlich.
Beim Klick auf diverse Links (egal wer sie anbietet!), sollte immer Vorsicht geboten sein.
Wer sein Hirn auf Standby stellt, sollte auch die Konsequenzen tragen und nicht andere dafür verantwortlich machen.
Wie soll der Nutzer denn erkennen, dass die Seite gehackt wurde, wenn alles genau so aussieht wie sonst? Da reicht ein Buchstabendreher in der URL und wenn man den übersieht, dann ist es zu spät. Sowas täglich kontrollieren zu müssen ist doch unbrauchbar für Seiten in die man sich täglich einloggt.
Und erzähl mir nicht, dass es leicht ist ständig aufzupassen. Die Redakteure schaffen es hier ja nicht mal auf ernst gemeinte Fragen zu antworten, weil sie sie "übersehen". Wenn das schon nicht klappt, wie ernst nehmen sie dann hier wohl die Datensicherheit.
Einfach nur darauf verweisen, dass man sich ja nur bei Valve einloggt genügt nicht. Wer das immer noch nicht verstanden hat, sollte mal die letzten Beiträge lesen.
Ist dir schonmal aufgefallen, dass die Steam-Login Seite eine Verifizierung hat? Und Phishing-Seiten das in 99.999999% (wenn nicht sogar 100%) aller Fälle nicht haben? Ist das nicht schon ein auffälliger Hinweis? Wenn du mir natürlich stichhaltige Beweise liefern kannst, dass man sogar das verfälschen kann, nehme ich das natürlich gerne wieder zurück.
[Beitrag wurde 1x editiert, zuletzt von Blutsense am 20.02.2013, 15:18]
Wie soll der Nutzer denn erkennen, dass die Seite gehackt wurde, wenn alles genau so aussieht wie sonst? Da reicht ein Buchstabendreher in der URL und wenn man den übersieht, dann ist es zu spät. Sowas täglich kontrollieren zu müssen ist doch unbrauchbar für Seiten in die man sich täglich einloggt.
ok...angenommen HLP wurde tatsächlich gehackt!...es fällt dir beim LogIn nicht auf...du weißt also nix vom Hack, aber bis jetzt besteht auch noch keine Gefahr für deinen SteamAccount.
Wie geht's weiter?
Der Hacker gibt sich zb. als Trineas aus und schreibt eine glaubwürdige News (was schonmal schwierig ist, aber gut...gehn wir mal von aus, der Hacker kriegt das hin), in welcher er auf Steam verweist, wo man sich zB. für eine Gewinnaktion - oder was auch immer - neueinloggen muss.
Dieser Link verweist aber tatsächlich auf ein Fakesteam...wo man noch zusätzlich seine Emailadresse angeben muss (wegen Steamguard).
Also wenn nicht schon beim Newstext die Alarmglocken angegangen sind, sollte das doch spätestens bei der Aufforderung zur Eingabe der Emailadresse passieren.
Und dann wäre da noch die Verifizierung, welche Blutsense vorhin erwähnte und Ricetlin (#51) schon am Montag mit einem Screenshot ins Gedächtnis rief.
Das macht zusammen 2 deutliche Merkmale!
und jetzt lesen wir nochmal deine nicht all zu weit gedachte Erkenntnis:
"Wie soll der Nutzer denn erkennen, dass die Seite gehackt wurde, wenn alles genau so aussieht wie sonst? Da reicht ein Buchstabendreher in der URL und wenn man den übersieht, dann ist es zu spät."
Noch Fragen?
[Beitrag wurde 1x editiert, zuletzt von Alryx am 20.02.2013, 16:32]
Wenn es um meinen Steam Account geht vertrau ich keiner Drittanbieter Seite...
Aber das muss mann auch gar nicht.
Bevor ich mich irgendwo mit meinem Steamaccount einlogge öffne ich ein neuen Tab und gebe http://steamcommunity.com ein und melde mich an.
Nun kann ich auf der drittanbieter Seite auf den "Sign in through Steam" Button klicken und muss nirgendswo mehr mein Passwort eingeben...
..und so ist es total egal ob ich der Drittanbieter Seite vertraue oder nicht.
____________________________________
[Beitrag wurde 1x editiert, zuletzt von Paul (Bademeister) am 20.02.2013, 16:54]
So wie Paul es beschrieben hat, wäre es einigermaßen sicher. Abgesehen davon, dass natürlich auch Valve schon mehrfach Opfer von Hackerangriffen geworden ist und ich z.B. nicht weiß, wer inzwischen meine Kreditkartendaten hat die ich mal bei Steam hinterlegt hatte...
@Alryx
Bei einem echten Angriff wäre keiner so dilettantisch und würde eine News als Trineas posten. Das würde schließlich sofort dem Team auffallen. Im Gegenteil, es ist davon auszugehen, dass mit Absicht versucht wird zu verschleiern, dass irgendwas an der Seite geändert wurde.
Schaut mal in die üblichen Server Admin Foren, da werden ständig Angriffe beschrieben (z.B. serversupportforum.de).
[...]
Bei einem echten Angriff wäre keiner so dilettantisch und würde eine News als Trineas posten. Das würde schließlich sofort dem Team auffallen. Im Gegenteil, es ist davon auszugehen, dass mit Absicht versucht wird zu verschleiern, dass irgendwas an der Seite geändert wurde.
Schaut mal in die üblichen Server Admin Foren, da werden ständig Angriffe beschrieben (z.B. serversupportforum.de).
Es bleibt immer noch das Zertifikat und die Geschichte mit Steamguard.