ist zwar interessant, aber ich verknüpfe aus prinzip nichts mit meinem steam account. dafür ist er mir zu teuer und möchte ihn durch ein server hack nicht verlieren.
Noch einmal: Es gibt dadurch kein erhöhtes Risiko! Auf unserem Server werden keine Logindaten von dir gespeichert, wir erhalten die nicht einmal. Die bleiben zu jedem Zeitpunkt ausschließlich bei Valve.
Ist dasselbe wie wenn man sich auf bestimmten Seiten mit seinem facebook oder twitter Account einloggt. So schwer zu verstehen ist das nun auch wieder nicht.
so wie ich das verstanden habe wird man beim einloggen auf die seite von valve geschickt um seine login daten bei steam einzugeben und dann kommt man mit einer weiterleiung zum HLP zurück welches dann das Signal bekommt das sich User XYZ(halt die öffentliche einzigartige Steam ID) erfolgreich eingeloggt hat und schwupps ist man beim HLP eingeloggr.
Ich verstehe das einfach nicht... Seit anbeginn von Steam wird davor gewarnt, seine Steam Logindaten auf fremden Seiten einzugeben. Nun stell Valve eine API zur Verfügung um es Seitenbetreibern zu ermöglichen, sich über selbige anzumelden. Bisher war es also immer so, das alles was nicht Steampowered.com ist, und meine Steamdaten haben will, böse ist. Nun wird also krampfhaft daran gearbeitet, das die Leute sich keine Gedanken mehr darüber machen sollen. Es existieren bereits jetzt schon hunderte Steam Plakiatseiten, auf denen man nebst Login, auch gleich noch Emaaildaten (wegen Steamguard) eingeben soll. Wenn die Leute sich also nun daran gewöhnen, ihre Daten auch auf diversen anderen Seiten einzugeben, erhöht das die Chance, das irgendwann einmal einer zb das HLP hackt, die Eingabemaske für den Login manipuliert, und somit an die Logindaten von Steam kommt.
Deshalb gilt für mich und viele andere:
STEAM Daten gehören nirgends anders hin als in Steam, oder steampowered.com!
Da könnt ihr noch so mit den Augen rollen...
Ich verstehe das einfach nicht... Seit anbeginn von Steam wird davor gewarnt, seine Steam Logindaten auf fremden Seiten einzugeben. Nun stell Valve eine API zur Verfügung um es Seitenbetreibern zu ermöglichen, sich über selbige anzumelden. Bisher war es also immer so, das alles was nicht Steampowered.com ist, und meine Steamdaten haben will, böse ist. Nun wird also krampfhaft daran gearbeitet, das die Leute sich keine Gedanken mehr darüber machen sollen. Es existieren bereits jetzt schon hunderte Steam Plakiatseiten, auf denen man nebst Login, auch gleich noch Emaaildaten (wegen Steamguard) eingeben soll. Wenn die Leute sich also nun daran gewöhnen, ihre Daten auch auf diversen anderen Seiten einzugeben, erhöht das die Chance, das irgendwann einmal einer zb das HLP hackt, die Eingabemaske für den Login manipuliert, und somit an die Logindaten von Steam kommt.
Deshalb gilt für mich und viele andere:
STEAM Daten gehören nirgends anders hin als in Steam, oder steampowered.com!
Da könnt ihr noch so mit den Augen rollen...
Der Witz an Open-ID ist ja, dass man sich nur einmal auf der gleichen Seite einloggt, d.h. auf HLP musst gar nicht erst ein Passwort eingeben (entsprechend sollte es gar keine Eingabemaske auf dieser Seite geben). Die einzige kognitive Leistung, die man (neben dem Abrufen des Benutzernamens und des Passworts) erbringen muss ist festzustellen, ob man die Daten gerade unter der URL https://steamcommunity.com/openid/login eingibt.
Solange ersichtlich ist welche Daten dem HLP damit zur Verfügung gestellt werden, sehe ich kein Problem.
STEAM Daten gehören nirgends anders hin als in Steam, oder steampowered.com!
Und genau auf diese Seite gelangst du, wenn du auf den Link klickst. Probier es aus, klick auf den grünen Button. Musst es ja anschließend nicht zu Ende führen und deine Daten eingeben, sondern es dir nur mal ansehen: http://www.hlportal.de/?sec=community&site=usersetup&do=steamconnect
Dann siehst du genau, dass du nirgendwo anders als auf Steamcommunity.com, der offiziellen Valve-Website, deine Daten eingeben musst bzw. kannst.
Deshalb gilt für mich und viele andere:
STEAM Daten gehören nirgends anders hin als in Steam, oder steampowered.com!
Abgesehen davon hat nur der Steamcommunity-Login ein Zertifikat und sieht so, oder jeh nach Browser ähnlich aus. Und ganz egal ob von garrysmod.org oder HLP jetzt in dem Fall, wenn er so aussieht dann sind deine Daten auch NUR bei Steam und gehen nirgendwo anders hin.
Wenn er den grünen Balken + Schloss nicht hat, dann ist die Seite nicht Steam und aller wahrscheinlichkeit nach auch böse und somit vermutlich eine Phishing-Seite.
Aber das weißt du bestimmt schon
[Beitrag wurde 5x editiert, zuletzt von Ricetlin am 18.02.2013, 22:40]
Wir reden hier offensichtlich aneinander vorbei. Ich weis sehr wohl, das man beim Klick auf den grünen Button auf steampowered.com weitergeleitet wird.
Mir geht es darum, das ich nur dann meine Logindaten in eine Eingabemaske eingebe, wenn ich selbst per Hand oben steampowered.com eingegeben habe. Das wurde mir 10 Jahre lang beim onlinebanking eingetrichtert.
Ich klicke auf keinen Button, der mich hoffentlich tatsächlich auf Steampowered.com weiterleitet und nicht auf eine gut gemachte Phishingseite. Egal ob der Button auf dem HLP ist, oder auf freesteamkeys.ru
Das Risiko bleibt immer beim User. Er muss nach dem Klick auf den Button, genau die URL anschauen, wahlweise das Zertifikat anzeigen lassen. Und hoffen das beides nicht gefälscht ist. Das Aussehen einer Webseite 1:1 zu fälschen ist bekanntlich kein Problem.
Oder könnt ihr, die verantwortlichen vom HLP, dafür garantieren, das die Seite niemals gehackt, der Button niemals manipuliert, und auf diese Weise Steam-logindaten in falsche Hände geraten? Selbst wenn das nur wenige wären, weil die meisten wahrscheinlich genau hinschauen, aber eben doch nicht alle?
Könnt ihr das? Und falls nein, wer haftet in solch einem Fall?
Oder liegt es dann wieder bei mir, mittels Kaufbelegen nachzuweisen, das es mein Account ist?
Und wenn ich Glück habe, hat anschließend mein 1500 Euro Acount einen Vacban, den ich nicht mehr wegbekomme?!?
Ihr könnt das also GARANTIEREN, das so etwas niemals vorkommt?
PS: Die Url in dem Bild gibts nicht mehr, es besteht also keine Gefahr.
[Beitrag wurde 1x editiert, zuletzt von RATman am 18.02.2013, 23:12]
da mein altes Benutzerkonto seit Jahren irgendwie verbuggt war und man sich weder einloggen, noch ein neues Passwort anfordern konnte
Das hat nichts mit "BUG's" zu tun, sondern mit den Bans, die hier gerne verteilt werden. Wenn du gebannt wurdest, wird dir das nu in deinem Profil angezeigt. Da du dich aber nicht mehr einloggen kannst, steht man da erstmal vor einem Rätzel.
Ich wurde sicherlich NICHT gebannt. Ich habe es innerhalb der paar Jahren einmal oder zwei mal geschafft ein neues Passwort anzufordern und konnte mich kurzzeitig wieder einloggen, leider wurde ich dann beim Versuch mein Passwort zu ändern wieder aus der Anmeldung geschmissen und kam wieder nicht rein. Hier handelte es sich 100% um einen Bug in der Software, nicht um einen Ban. Kannste auch selber überprüfen, mein altes Profil lautete "TK:ONE" und ich war hier 2008 sogar Redakteur auf Probe. Von einem BAN wüsste ich
Es gibt halt immer irgendwelche Angriffspunkte. Logisch, dass es sich eher lohnt eine Pishingseite für einen OpenId-Login zu bauen, daher sollte man eben genau hinschauen.
Vorteil ist, dass im Idealfall keine Passwörter mehr auf den Seiten, auf denen man einen Account besitzt, gespeichert werden. Das reduziert auch das Pishing-Problem von n Loginseiten auf eine Loginseite. Gleichzeitig verschiebt man auch die Verantwortlichkeit teilweise zum Open-ID Anbieter. Und natürlich muss man sich nur noch ein Passwort merken (wenn man zuvor idealerweise verschiedene Passwörter für verschiedene Dienste genutzt hat).
Nachteil ist, dass man dem OpenID-Betreiber vertrauen muss, da er nun die Seiten und Logindaten kennt und Sicherheitstokens generieren kann, die Zugriff auf mehrere Seiten geben. Das Authentifzierungsproblem wird also nur auf den Open-ID-Anbieter verschoben. Dem entgegenwirken kann man, indem man seine eigenen Open-ID Server aufsetzt, was für Normalsterbliche nicht praktikabel ist und womöglich andere Sicherheitslücken hervorruft. Ist man (vermutlich berechtigterweise) leicht paranoid, sollte man sich überlegen, dass derjenige, der das Token generieren kann, potenziell Zugriff auf alle damit verknüpfte Konten hat. Das ist insbesondere dann schlecht, wenn der Service unbemerkt kompromittiert ist. Es ist sicherlich auch für Sicherheitsbehörden praktikabel, wenn sie nur einen Dienstleister anfragen müssen, um Zugriff auf alle Konten zu erlangen.
Insgesamt finde ich die Grundidee zwar gut (ein Account, ein Passwort, eine Authentifizierung), wenn aber letztlich alle Daten bei einem Provider zentral gespeichert werden, muss ich dem dann doch ganz schön vertrauen. Zumindest würde ich nur Konten verknüpfen, die zu einem Informationsbereich gehören (bspw. nicht E-Mail und sonstiger Login bei einem gemeinsamen Provider). Wenn Valve umgekehrt potenziellen Zugriff auf den HLP-Account hat und GabeN mit meinem Account in den Newskommentaren herumflamet, wäre das jetzt nicht ganz so schlimm.
[Beitrag wurde 2x editiert, zuletzt von phreazer am 19.02.2013, 00:44]
Deine Steam-Login-Daten bleiben immer und ausschließlich zwischen dir und Valve. Lies dir am besten die Seite durch, da steht genau beschrieben wie es funktioniert und wieso es kein zusätzliches Sicherheitsrisiko darstellt: http://www.hlportal.de/?sec=community&site=usersetup&do=steamconnect
Eben dafür könnt ihr nicht garantieren. Siehe weiter unten...
Zitat: Original von Bindal
Wenn du mal ließt - nein.
Auch Du hast noch nicht zwischen den Zeilen gelesen worauf die Frage abzielte.
RatMan hatte Recht. In diesem Fall also kein "sinnloses Geschwafel" wie Gordon hier beleidigend geschrieben hat. Warum werden solche Postings eigentlich nicht gelöscht (haben nichtmal was mit dem Thema zu tun)?
Was ist wenn das HL Portal gehackt wird?
Was ist, wenn uns ahnungslosen Usern dann anstatt dem Link zu Valve ein Link auf eine ähnliche 100% gleich aussehende Seite präsentiert wird, den dann alle brav anklicken?
Was ist, wenn dann alle Ihre echten Steam Login Daten auf einer gefakten Valve Seite eingeben auf die vom HLPortal aus verwiesen wurde? Wenn dann auch noch direkt weiter zu Valve verwiesen wird (& der Login bestätigt), bekommt man nicht einmal mit was passiert ist.
Das Risiko kann man nicht herunterspielen. Jede Seite kann gehackt werden. Ich unterstelle einfach mal, dass eine Hobby Seite wie das HL Portal nicht das selbe Sicherheitsniveau bieten kann, wie eine professionelle.
Wer haftet dann, wenn ich meinen Steam Account aufgrund des Hacks verloren habe? Das HL Portal wird das sicher nicht zahlen können & wollen.
Mir ist schon klar, warum erstmal versucht wird das Risiko herunter zu spielen. Dabei kommt sowas täglich vor. Seiten wurden schon für weitaus weniger Werte gehackt...