HALF-LIFE PORTAL
Your Gate To Valve's Games www.hl-forum.de
PORTAL
FORUM
LOGIN
User oder E-mail:


Passwort:


oder
Registrieren
Passwort vergessen?
OpenID-Login
MISC
PARTNER

TF2 Crafting

Special Artworks by
Hayungs

Link us:
HL PORTAL

Support us:


HLPortal
auf Facebook

›› Willkommen!   ›› 95.008.209 Visits   ›› 18.316 registrierte User   ›› 20 Besucher online (0 auf dieser Seite)
23.789 Themen, 325.181 Beiträge  
    FORUM 

Thema-Ansicht


Forum > Half-Life Portal > News > Half-Life Portal: Ab sofort mit Steam-Login
Status: Offen
82 Beiträge
Letzter Beitrag Seiten (6):  « 1 2 3 [4] 5 6 »


Autor Beitrag
# 46
HLP - Ehrenmember
Nachricht offline Admin
Thread-Starter
Nihilanth
11.193.212 Punkte
Dabei seit: 20.04.2004
8.927 Beiträge
Zitat:
Original von bl4

ist zwar interessant, aber ich verknüpfe aus prinzip nichts mit meinem steam account. dafür ist er mir zu teuer und möchte ihn durch ein server hack nicht verlieren.


Noch einmal: Es gibt dadurch kein erhöhtes Risiko! Auf unserem Server werden keine Logindaten von dir gespeichert, wir erhalten die nicht einmal. Die bleiben zu jedem Zeitpunkt ausschließlich bei Valve.
18.02.2013, 20:46 Uhr Anzeigen
# 47
Nachricht offline
Bullsquid
2.254 Punkte
Dabei seit: 16.02.2006
715 Beiträge
Ist dasselbe wie wenn man sich auf bestimmten Seiten mit seinem facebook oder twitter Account einloggt. So schwer zu verstehen ist das nun auch wieder nicht. :rolleyes:
18.02.2013, 21:01 Uhr Anzeigen
# 48
Nachricht offline
Barnacle
407 Punkte
Dabei seit: 19.06.2010
239 Beiträge
so wie ich das verstanden habe wird man beim einloggen auf die seite von valve geschickt um seine login daten bei steam einzugeben und dann kommt man mit einer weiterleiung zum HLP zurück welches dann das Signal bekommt das sich User XYZ(halt die öffentliche einzigartige Steam ID) erfolgreich eingeloggt hat und schwupps ist man beim HLP eingeloggr.
18.02.2013, 21:04 Uhr Anzeigen
# 49
Nachricht offline
Headcrab
0 Punkte
Dabei seit: 17.09.2012
138 Beiträge
Ich verstehe das einfach nicht... Seit anbeginn von Steam wird davor gewarnt, seine Steam Logindaten auf fremden Seiten einzugeben. Nun stell Valve eine API zur Verfügung um es Seitenbetreibern zu ermöglichen, sich über selbige anzumelden. Bisher war es also immer so, das alles was nicht Steampowered.com ist, und meine Steamdaten haben will, böse ist. Nun wird also krampfhaft daran gearbeitet, das die Leute sich keine Gedanken mehr darüber machen sollen. Es existieren bereits jetzt schon hunderte Steam Plakiatseiten, auf denen man nebst Login, auch gleich noch Emaaildaten (wegen Steamguard) eingeben soll. Wenn die Leute sich also nun daran gewöhnen, ihre Daten auch auf diversen anderen Seiten einzugeben, erhöht das die Chance, das irgendwann einmal einer zb das HLP hackt, die Eingabemaske für den Login manipuliert, und somit an die Logindaten von Steam kommt.
Deshalb gilt für mich und viele andere:
STEAM Daten gehören nirgends anders hin als in Steam, oder steampowered.com!
Da könnt ihr noch so mit den Augen rollen...
18.02.2013, 21:17 Uhr Anzeigen
# 50
Nachricht offline
Bullsquid
1.051 Punkte
Dabei seit: 05.02.2005
389 Beiträge
Zitat:
Original von RATman

Ich verstehe das einfach nicht... Seit anbeginn von Steam wird davor gewarnt, seine Steam Logindaten auf fremden Seiten einzugeben. Nun stell Valve eine API zur Verfügung um es Seitenbetreibern zu ermöglichen, sich über selbige anzumelden. Bisher war es also immer so, das alles was nicht Steampowered.com ist, und meine Steamdaten haben will, böse ist. Nun wird also krampfhaft daran gearbeitet, das die Leute sich keine Gedanken mehr darüber machen sollen. Es existieren bereits jetzt schon hunderte Steam Plakiatseiten, auf denen man nebst Login, auch gleich noch Emaaildaten (wegen Steamguard) eingeben soll. Wenn die Leute sich also nun daran gewöhnen, ihre Daten auch auf diversen anderen Seiten einzugeben, erhöht das die Chance, das irgendwann einmal einer zb das HLP hackt, die Eingabemaske für den Login manipuliert, und somit an die Logindaten von Steam kommt.
Deshalb gilt für mich und viele andere:
STEAM Daten gehören nirgends anders hin als in Steam, oder steampowered.com!
Da könnt ihr noch so mit den Augen rollen...


Der Witz an Open-ID ist ja, dass man sich nur einmal auf der gleichen Seite einloggt, d.h. auf HLP musst gar nicht erst ein Passwort eingeben (entsprechend sollte es gar keine Eingabemaske auf dieser Seite geben). Die einzige kognitive Leistung, die man (neben dem Abrufen des Benutzernamens und des Passworts) erbringen muss ist festzustellen, ob man die Daten gerade unter der URL https://steamcommunity.com/openid/login eingibt.

Solange ersichtlich ist welche Daten dem HLP damit zur Verfügung gestellt werden, sehe ich kein Problem.
18.02.2013, 21:55 Uhr Anzeigen
# 51
HLP - Ehrenmember
Nachricht offline Admin
Thread-Starter
Nihilanth
11.193.212 Punkte
Dabei seit: 20.04.2004
8.927 Beiträge
Zitat:
Original von RATman

STEAM Daten gehören nirgends anders hin als in Steam, oder steampowered.com!


Und genau auf diese Seite gelangst du, wenn du auf den Link klickst. Probier es aus, klick auf den grünen Button. Musst es ja anschließend nicht zu Ende führen und deine Daten eingeben, sondern es dir nur mal ansehen: http://www.hlportal.de/?sec=community&site=usersetup&do=steamconnect

Dann siehst du genau, dass du nirgendwo anders als auf Steamcommunity.com, der offiziellen Valve-Website, deine Daten eingeben musst bzw. kannst.
18.02.2013, 22:02 Uhr Anzeigen
# 52
Nachricht offline
Headcrab
0 Punkte
Dabei seit: 22.08.2010
145 Beiträge
Zitat:
Original von RATman

Deshalb gilt für mich und viele andere:
STEAM Daten gehören nirgends anders hin als in Steam, oder steampowered.com!


Abgesehen davon hat nur der Steamcommunity-Login ein Zertifikat und sieht so, oder jeh nach Browser ähnlich aus. Und ganz egal ob von garrysmod.org oder HLP jetzt in dem Fall, wenn er so aussieht dann sind deine Daten auch NUR bei Steam und gehen nirgendwo anders hin.
Wenn er den grünen Balken + Schloss nicht hat, dann ist die Seite nicht Steam und aller wahrscheinlichkeit nach auch böse und somit vermutlich eine Phishing-Seite.

Aber das weißt du bestimmt schon :)

[Beitrag wurde 5x editiert, zuletzt von Ricetlin am 18.02.2013, 22:40]
18.02.2013, 22:34 Uhr Anzeigen
# 53
Nachricht offline
Alien Grunt
4.396 Punkte
Dabei seit: 08.01.2006
1.365 Beiträge
Finde die Idee sehr gut, aber leider klappt es bei mir nicht so :(
Das mich mit meinem Steam ID hier an melden kann!
18.02.2013, 22:44 Uhr Anzeigen
# 54
HLP - Ehrenmember
Nachricht offline Admin
Thread-Starter
Nihilanth
11.193.212 Punkte
Dabei seit: 20.04.2004
8.927 Beiträge
Zitat:
Original von Freeman1982

Finde die Idee sehr gut, aber leider klappt es bei mir nicht so :(
Das mich mit meinem Steam ID hier an melden kann!


Du musst deinen Account einmalig verknüpfen und dich dann über den grünen "Login über Steam"-Button anmelden.
18.02.2013, 23:01 Uhr Anzeigen
# 55
Nachricht offline
Headcrab
0 Punkte
Dabei seit: 17.09.2012
138 Beiträge
Wir reden hier offensichtlich aneinander vorbei. Ich weis sehr wohl, das man beim Klick auf den grünen Button auf steampowered.com weitergeleitet wird.
Mir geht es darum, das ich nur dann meine Logindaten in eine Eingabemaske eingebe, wenn ich selbst per Hand oben steampowered.com eingegeben habe. Das wurde mir 10 Jahre lang beim onlinebanking eingetrichtert.
Ich klicke auf keinen Button, der mich hoffentlich tatsächlich auf Steampowered.com weiterleitet und nicht auf eine gut gemachte Phishingseite. Egal ob der Button auf dem HLP ist, oder auf freesteamkeys.ru

Das Risiko bleibt immer beim User. Er muss nach dem Klick auf den Button, genau die URL anschauen, wahlweise das Zertifikat anzeigen lassen. Und hoffen das beides nicht gefälscht ist. Das Aussehen einer Webseite 1:1 zu fälschen ist bekanntlich kein Problem.



Oder könnt ihr, die verantwortlichen vom HLP, dafür garantieren, das die Seite niemals gehackt, der Button niemals manipuliert, und auf diese Weise Steam-logindaten in falsche Hände geraten? Selbst wenn das nur wenige wären, weil die meisten wahrscheinlich genau hinschauen, aber eben doch nicht alle?
Könnt ihr das? Und falls nein, wer haftet in solch einem Fall?
Oder liegt es dann wieder bei mir, mittels Kaufbelegen nachzuweisen, das es mein Account ist?
Und wenn ich Glück habe, hat anschließend mein 1500 Euro Acount einen Vacban, den ich nicht mehr wegbekomme?!?
Ihr könnt das also GARANTIEREN, das so etwas niemals vorkommt?

PS: Die Url in dem Bild gibts nicht mehr, es besteht also keine Gefahr.
[Beitrag wurde 1x editiert, zuletzt von RATman am 18.02.2013, 23:12]
18.02.2013, 23:06 Uhr Anzeigen
# 56
Nachricht offline
Headcrab
0 Punkte
Dabei seit: 18.02.2013
6 Beiträge
Zitat:
Original von RATman

Zitat:
Original von TKzudemONE

da mein altes Benutzerkonto seit Jahren irgendwie verbuggt war und man sich weder einloggen, noch ein neues Passwort anfordern konnte


Das hat nichts mit "BUG's" zu tun, sondern mit den Bans, die hier gerne verteilt werden. Wenn du gebannt wurdest, wird dir das nu in deinem Profil angezeigt. Da du dich aber nicht mehr einloggen kannst, steht man da erstmal vor einem Rätzel.


Ich wurde sicherlich NICHT gebannt. Ich habe es innerhalb der paar Jahren einmal oder zwei mal geschafft ein neues Passwort anzufordern und konnte mich kurzzeitig wieder einloggen, leider wurde ich dann beim Versuch mein Passwort zu ändern wieder aus der Anmeldung geschmissen und kam wieder nicht rein. Hier handelte es sich 100% um einen Bug in der Software, nicht um einen Ban. Kannste auch selber überprüfen, mein altes Profil lautete "TK:ONE" und ich war hier 2008 sogar Redakteur auf Probe. Von einem BAN wüsste ich :)
19.02.2013, 00:08 Uhr Anzeigen
# 57
Nachricht offline
Bullsquid
1.051 Punkte
Dabei seit: 05.02.2005
389 Beiträge
Es gibt halt immer irgendwelche Angriffspunkte. Logisch, dass es sich eher lohnt eine Pishingseite für einen OpenId-Login zu bauen, daher sollte man eben genau hinschauen.

Vorteil ist, dass im Idealfall keine Passwörter mehr auf den Seiten, auf denen man einen Account besitzt, gespeichert werden. Das reduziert auch das Pishing-Problem von n Loginseiten auf eine Loginseite. Gleichzeitig verschiebt man auch die Verantwortlichkeit teilweise zum Open-ID Anbieter. Und natürlich muss man sich nur noch ein Passwort merken (wenn man zuvor idealerweise verschiedene Passwörter für verschiedene Dienste genutzt hat).

Nachteil ist, dass man dem OpenID-Betreiber vertrauen muss, da er nun die Seiten und Logindaten kennt und Sicherheitstokens generieren kann, die Zugriff auf mehrere Seiten geben. Das Authentifzierungsproblem wird also nur auf den Open-ID-Anbieter verschoben. Dem entgegenwirken kann man, indem man seine eigenen Open-ID Server aufsetzt, was für Normalsterbliche nicht praktikabel ist und womöglich andere Sicherheitslücken hervorruft. Ist man (vermutlich berechtigterweise) leicht paranoid, sollte man sich überlegen, dass derjenige, der das Token generieren kann, potenziell Zugriff auf alle damit verknüpfte Konten hat. Das ist insbesondere dann schlecht, wenn der Service unbemerkt kompromittiert ist. Es ist sicherlich auch für Sicherheitsbehörden praktikabel, wenn sie nur einen Dienstleister anfragen müssen, um Zugriff auf alle Konten zu erlangen.

Insgesamt finde ich die Grundidee zwar gut (ein Account, ein Passwort, eine Authentifizierung), wenn aber letztlich alle Daten bei einem Provider zentral gespeichert werden, muss ich dem dann doch ganz schön vertrauen. Zumindest würde ich nur Konten verknüpfen, die zu einem Informationsbereich gehören (bspw. nicht E-Mail und sonstiger Login bei einem gemeinsamen Provider). Wenn Valve umgekehrt potenziellen Zugriff auf den HLP-Account hat und GabeN mit meinem Account in den Newskommentaren herumflamet, wäre das jetzt nicht ganz so schlimm.
[Beitrag wurde 2x editiert, zuletzt von phreazer am 19.02.2013, 00:44]
19.02.2013, 00:39 Uhr Anzeigen
# 58
Nachricht offline
Hound Eye
331 Punkte
Dabei seit: 06.09.2012
464 Beiträge
Zitat:
Original von Trineas

Deine Steam-Login-Daten bleiben immer und ausschließlich zwischen dir und Valve. Lies dir am besten die Seite durch, da steht genau beschrieben wie es funktioniert und wieso es kein zusätzliches Sicherheitsrisiko darstellt: http://www.hlportal.de/?sec=community&site=usersetup&do=steamconnect


Eben dafür könnt ihr nicht garantieren. Siehe weiter unten...

Zitat:
Original von Bindal

Wenn du mal ließt - nein.


Auch Du hast noch nicht zwischen den Zeilen gelesen worauf die Frage abzielte.

RatMan hatte Recht. In diesem Fall also kein "sinnloses Geschwafel" wie Gordon hier beleidigend geschrieben hat. Warum werden solche Postings eigentlich nicht gelöscht (haben nichtmal was mit dem Thema zu tun)?

Was ist wenn das HL Portal gehackt wird?

Was ist, wenn uns ahnungslosen Usern dann anstatt dem Link zu Valve ein Link auf eine ähnliche 100% gleich aussehende Seite präsentiert wird, den dann alle brav anklicken?

Was ist, wenn dann alle Ihre echten Steam Login Daten auf einer gefakten Valve Seite eingeben auf die vom HLPortal aus verwiesen wurde? Wenn dann auch noch direkt weiter zu Valve verwiesen wird (& der Login bestätigt), bekommt man nicht einmal mit was passiert ist.

Das Risiko kann man nicht herunterspielen. Jede Seite kann gehackt werden. Ich unterstelle einfach mal, dass eine Hobby Seite wie das HL Portal nicht das selbe Sicherheitsniveau bieten kann, wie eine professionelle.

Wer haftet dann, wenn ich meinen Steam Account aufgrund des Hacks verloren habe? Das HL Portal wird das sicher nicht zahlen können & wollen.

Mir ist schon klar, warum erstmal versucht wird das Risiko herunter zu spielen. Dabei kommt sowas täglich vor. Seiten wurden schon für weitaus weniger Werte gehackt...
19.02.2013, 07:56 Uhr Anzeigen
# 59
Nachricht offline
Headcrab
13 Punkte
Dabei seit: 29.11.2010
291 Beiträge
Ich werds nicht verknüpfen. Sehe da bis jetzt keinerlei vorteile.
19.02.2013, 08:22 Uhr Anzeigen
# 60
Nachricht offline
Headcrab
0 Punkte
Dabei seit: 17.04.2008
245 Beiträge
Coole Sache, hlportal! ;-) Ich bin jetzt auch verknüpft. ^^ Da bin ich mal gespannt, was in diesem Jahr noch alles kommt.
19.02.2013, 09:57 Uhr Anzeigen
nach oben
82 Beiträge

Seiten (6):  « 1 2 3 [4] 5 6 »


Gehe zu:  feed_mini Beiträge: RSS, RSS2, ATOM

Sections:  HLP  Board  Mods  Steam      Games:  HL  Op4  HLBS  HL2  HL2:Ep1  HL2:Ep2  Prtl  TF2  TFC  CS  DoD  L4D  Gunman
    USER ONLINE 
Insgesamt sind 20 Benutzer online. Davon sind 0 registriert:
    SITE OPTIONS 
- Zu Favoriten hinzufügen
- Als Startseite festlegen (IE only)
- Fehler auf dieser Seite?