HALF-LIFE PORTAL
Your Gate To Valve's Games www.hl-forum.de
PORTAL
FORUM
LOGIN
User oder E-mail:


Passwort:


oder
Registrieren
Passwort vergessen?
OpenID-Login
MISC
PARTNER

TF2 Crafting

Special Artworks by
Hayungs

Link us:
HL PORTAL

Support us:


HLPortal
auf Facebook

›› Willkommen!   ›› 87.241.746 Visits   ›› 18.318 registrierte User   ›› 22 Besucher online (0 auf dieser Seite)
23.786 Themen, 325.141 Beiträge  
    FORUM 

Thema-Ansicht


Forum > Half-Life Portal > News > Steam: Vertrauensbruch: Bann für Entwickler
Status: Offen
35 Beiträge
Letzter Beitrag Seiten (3):  « 1 [2] 3 »


Autor Beitrag
# 16
Nachricht offline
Bullsquid
1.033 Punkte
Dabei seit: 17.11.2005
320 Beiträge
Zitat:
Original von FireStar

Der Ban wird nach den medialen Druck sicher nicht in dieser Form bestehen bleiben. Kann ich mir nicht vorstellen.


Sieht so aus als ob du Recht hast.
http://istimmystillbanned.info/

Ob das nun stimmt weiss ich aber nicht :D
18.06.2014, 11:47 Uhr Anzeigen
# 17
Nachricht offline
Hound Eye
185 Punkte
Dabei seit: 16.06.2009
193 Beiträge
LOL!
18.06.2014, 14:08 Uhr Anzeigen
# 18
fsp
Nachricht offline
Headcrab
0 Punkte
Dabei seit: 18.09.2012
190 Beiträge
Zitat:
Original von Trineas

Es ist keine Sicherheitslücke gewesen. Wenn man den Entwicklern nicht trauen kann, dass sie ein Tool nicht missbrauchen, dann dürften sie ja überhaupt nichts über Steam veröffentlichen. Darüber könnten sie Viren und Malware verbreiten, viel schlimmere Dinge als sie jemals mit HTML anstellen könnten.


Nachtrag: Wenn es keine Sicherheitslücke ist, warum wurde die Funktion dann entfernt?
18.06.2014, 16:12 Uhr Anzeigen
# 19
Nachricht offline
Headcrab
0 Punkte
Dabei seit: 18.06.2014
2 Beiträge
Zitat:
Original von fsp

Zitat:
Original von Trineas

Es ist keine Sicherheitslücke gewesen. Wenn man den Entwicklern nicht trauen kann, dass sie ein Tool nicht missbrauchen, dann dürften sie ja überhaupt nichts über Steam veröffentlichen. Darüber könnten sie Viren und Malware verbreiten, viel schlimmere Dinge als sie jemals mit HTML anstellen könnten.


Nachtrag: Wenn es keine Sicherheitslücke ist, warum wurde die Funktion dann entfernt?


Weil sie vielleicht nach diesem Vorfall doch zu dem Schluss gekommen sind, dass es naiv war den Entwicklern diese Freiheiten einzuräumen?

Das macht HTML aber deswegen nicht automatisch zur Sicherheitslücke. Genauswenig wie Java oder C keine Sicherheitslücken sind, nur weil man damit theoretisch Schadcode programmieren könnte.
[Beitrag wurde 1x editiert, zuletzt von Fixx am 18.06.2014, 19:08]
18.06.2014, 19:08 Uhr Anzeigen
# 20
Nachricht offline
Bullsquid
1.327 Punkte
Dabei seit: 19.07.2007
506 Beiträge
@Trineas, das hat nichts mit Vertrauen zu tun. Schlichtweg: es ist eine Sicherheitslücke. Wer Userinput nicht vernünftig validiert, wird immer mit diesen Problem zu kämpfen haben. Genauso könnte man durch einen Bug im BB-Code-Parser html/javascript mit einschleusen. Das jetzt html verwendet worden ist, ändert nichts an der Tatsache, dass die keine vernünftige Validierung der Eingaben machen.

@King2500: Das spielt keine Rolle ob man Geschäftspartner ist oder nicht. Ansonsten könnte sich z.B. Ebay auch nur auf die AGB berufen. Sie arbeiten aber aktiv daran, dass z.B. Cross-Site-Scripting unterbunden wird.

@all: Vielen scheint die Tragweite gar nicht so bekannt zu sein. Wenn man es geschickt anstellt, würde man auch an Kreditkartennummern kommen. Es reicht dann aus, wenn einer den Beitrag im Forum liest und dann ein Spiel kauft ohne vorher das Fenster zu schließen. Das Javascript kann das Opfer dann z.B. auf eine vorbereitete Seite umleiten um dann später die Daten abzugreifen. Letztendlich geht es darum alle zu schützen und da bilden die Entwickler keine Ausnahme. Generell geht man davon aus, dass jeder im Internet böse Absichten hat und so hat man auch gefälligst zu programmieren. Alles Andere ist zum Scheitern verurteilt.

Wer mal mit jQuery gearbeitet hat, weiß wie einfach es ist Elemente auf der Seite auszutauschen (sogar mit Kompatibilität für fast alle Browser). Die Möglichkeiten sind echt beängstigend.
[Beitrag wurde 3x editiert, zuletzt von DeaD_EyE am 18.06.2014, 19:11]
18.06.2014, 19:08 Uhr Anzeigen
# 21
Nachricht offline
Headcrab
0 Punkte
Dabei seit: 18.06.2014
2 Beiträge
Zitat:
Original von DeaD_EyE

@Trineas, das hat nichts mit Vertrauen zu tun. Schlichtweg: es ist eine Sicherheitslücke. Wer Userinput nicht vernünftig validiert, wird immer mit diesen Problem zu kämpfen haben. Genauso könnte man durch einen Bug im BB-Code-Parser html/javascript mit einschleusen. Das jetzt html verwendet worden ist, ändert nichts an der Tatsache, dass die keine vernünftige Validierung der Eingaben machen.


Fehlende Validierung = Sicherheitslücke??
Das ist so nicht richtig!

Eine Sicherheitslücke ist immer ein Fehler in einer Software.

Der einzige Fehler hier war wohl eher zu viel Vertrauen.
18.06.2014, 19:19 Uhr Anzeigen
# 22
HLP - Ehrenmember
Nachricht offline Admin
Thread-Starter
Nihilanth
11.193.296 Punkte
Dabei seit: 20.04.2004
8.927 Beiträge
Zitat:
Original von fsp

Nachtrag: Wenn es keine Sicherheitslücke ist, warum wurde die Funktion dann entfernt?


Weil sich gezeigt hat, dass man den Entwicklern nicht trauen kann. Deshalb war es aber keine Sicherheitslücke. Wenn du Leute zu dir nach Hause einlädst, dann öffnest du damit ja auch keine Sicherheitslücke. Du vertraust darauf, dass die sich ordentlich verhalten, schließlich sind das deine Bekannten. Wenn nun einer von ihnen Sachen mitgehen lässt, wirst du ihn in Zukunft nicht mehr einladen, aber niemand wird dir vorwerfen, dass du irgendein unverantwortbares Risiko eingegangen bist, da es ein ganz normales Verhalten ist Leute einzuladen. Und genauso ist es ein normales Verhalten, seinen Entwicklungspartnern entsprechende Tools zur Verfügung zu stellen. Aus gutem Grund hat Valve diese Tools ja nicht allen Nutzern in die Hand gegeben, sondern nur den Geschäftspartnern, denen man vertraut(e).

Laut deiner Logik wäre es nämlich jetzt immer noch eine Sicherheitslücke, weil weiterhin Valve-Mitarbeiter Zugriff darauf haben und schädlichen Code ausführen könnten. Oder kannst du garantieren, dass ein Valve-Mitarbeiter das niemals machen würde oder dass sein Account nicht kompromittiert werden kann? Niemand kann das, man kann nur das Risiko auf ein sinnvolles Maß reduzieren. Bisher ging man davon aus, dass dies auch Entwicklungspartner beinhaltet, nun sieht man das anders.

Aber deshalb war und ist es keine Sicherheitslücke. Das war eine bewusste Einschätzung und Entscheidung, kein Versehen oder Bug oder sonst etwas.
18.06.2014, 20:02 Uhr Anzeigen
# 23
Nachricht offline
Headcrab
0 Punkte
Dabei seit: 05.03.2012
80 Beiträge
timmy_cz war vollkommen im Recht. Es wurde oft genug bewiesen, dass grade in Zeiten von Greenlight die einzelnen Entwickler nicht als unbedingt vertrauenswürdig gelten. Durch diese XSS-Lücke könnten beispielsweise vollkommen unbemerkt Session-Cookies gestohlen werden, mit welchen man sich als fremder Account in die Steamcommunity einloggen kann.
18.06.2014, 20:36 Uhr Anzeigen
# 24
Nachricht offline
Headcrab
0 Punkte
Dabei seit: 18.06.2014
4 Beiträge
Zitat:
Original von Trineas

Zitat:
Original von fsp

Nachtrag: Wenn es keine Sicherheitslücke ist, warum wurde die Funktion dann entfernt?


Weil sich gezeigt hat, dass man den Entwicklern nicht trauen kann. Deshalb war es aber keine Sicherheitslücke. Wenn du Leute zu dir nach Hause einlädst, dann öffnest du damit ja auch keine Sicherheitslücke. Du vertraust darauf, dass die sich ordentlich verhalten, schließlich sind das deine Bekannten. Wenn nun einer von ihnen Sachen mitgehen lässt, wirst du ihn in Zukunft nicht mehr einladen, aber niemand wird dir vorwerfen, dass du irgendein unverantwortbares Risiko eingegangen bist, da es ein ganz normales Verhalten ist Leute einzuladen. Und genauso ist es ein normales Verhalten, seinen Entwicklungspartnern entsprechende Tools zur Verfügung zu stellen. Aus gutem Grund hat Valve diese Tools ja nicht allen Nutzern in die Hand gegeben, sondern nur den Geschäftspartnern, denen man vertraut(e).


Traue niemandem. Und erst recht nicht, wenn es darum geht beliebigen Javascript-Code auf deiner Webseite zu hinterlassen. Sogar Banken untersuchen eingehende Buchungen anderer Banken auf potenziell verdächtigen Krempel wie Injections oder eben XSS....

Zitat:
Original von Trineas

Laut deiner Logik wäre es nämlich jetzt immer noch eine Sicherheitslücke, weil weiterhin Valve-Mitarbeiter Zugriff darauf haben und schädlichen Code ausführen könnten. Oder kannst du garantieren, dass ein Valve-Mitarbeiter das niemals machen würde oder dass sein Account nicht kompromittiert werden kann? Niemand kann das, man kann nur das Risiko auf ein sinnvolles Maß reduzieren. Bisher ging man davon aus, dass dies auch Entwicklungspartner beinhaltet, nun sieht man das anders.


Programmierer werden in ihrer Tätigkeit überwacht. Für kritische Softwware gibt es in jedem guten Unternehmen Code-Reviews. Außerdem gibt es eine Versionverwaltung mit der sich einwandfrei nachvollziehen lässt wer, was wann programmiert hat. Wenn du fremden Leuten ein script-tag in die Hand drückst, dann kannst du schlichtweg nicht mehr nachvollziehen was wann wo ausgeführt wurde. Der vergleich scheitert also allein schon an diesem Punkt. Außerdem gibt es IMMER einen Unterschied zwischen einem internen und einem externen Entwickler, wenn es um vertrauen geht.


Zitat:
Original von Trineas

Aber deshalb war und ist es keine Sicherheitslücke. Das war eine bewusste Einschätzung und Entscheidung, kein Versehen oder Bug oder sonst etwas.


Um in deinem Vergleich zu bleiben: Du lädst nicht einfach nur Freunde zu dir ein. Du gibst all deinen Party-Bekanntschaften einen Schlüssel für deinen Dienstwagen, mit der Bitte doch bitte nicht zu schnell damit zu fahren. Und erst als einer deiner "Freunde" mit 120 durch die Innenstadt fährst, stellst du fest dass das vielleicht nicht klug war.
18.06.2014, 20:54 Uhr Anzeigen
# 25
Nachricht offline
Headcrab
0 Punkte
Dabei seit: 18.06.2014
4 Beiträge
HIER wird ganz gut erklärt wie mächtig eine solche Lücke sein kann...

https://www.youtube.com/watch?v=L5l9lSnNMxg

Und wie solche Lücken normalerweise entstehen. Dem User gleich ein Script-Tag in die Hand geben ist natürlich einfacher...
18.06.2014, 21:01 Uhr Anzeigen
# 26
HLP - Ehrenmember
Nachricht offline Admin
Thread-Starter
Nihilanth
11.193.296 Punkte
Dabei seit: 20.04.2004
8.927 Beiträge
@StringEpsilon

Die Sache ist nur: Die Entwickler haben alle einen direkten Zugriff auf deine Festplatte. Was die auf die Steam-Server hochladen lädt Steam bei dir runter. Da gibt es keine Code Reviews, keine Überprüfung, nichts. Wenn man also Entwicklern nicht vertrauen kann, dass sie mit HTML und Scripts keinen Mist bauen, wie kann man ihnen dann vertrauen, dass sie mit ihren Spielen keinen Mist bauen? Das widerspricht sich einfach. Entweder ich vertraue ihnen oder ich tue es nicht.

Wie sieht die Situation jetzt aus? Die Entwickler müssen BB-Code verwenden, weil man Angst davor hat, dass sie irgendwelche Scripte in ihre Announcement-Seiten einbinden, gleichzeitig bestimmen sie aber was Steam automatisch bei dir runterlädt. Jedes mögliche ausführbare Programm, jeden Virus, jeden Trojaner, jeden Keylogger oder was auch sonst ihnen einfällt.
18.06.2014, 21:27 Uhr Anzeigen
# 27
Nachricht offline
Barnacle
415 Punkte
Dabei seit: 06.09.2012
464 Beiträge
Eben, deswegen sehe ich die Entwicklung von Steam in Richtung immer weniger Kontrolle bzw. gar keine Kontrolle durch Valve schon länger sehr kritisch. Valve macht es potentiellen Betrügern immer leichter das blinde Vertrauen der Kunden , in diesem Fall wohl hauptsächlich Jugendliche und junge Erwachsene, auszunutzen.
18.06.2014, 23:15 Uhr Anzeigen
# 28
Nachricht offline
Bullsquid
1.327 Punkte
Dabei seit: 19.07.2007
506 Beiträge
Zitat:
Original von Fixx

Fehlende Validierung = Sicherheitslücke??
Das ist so nicht richtig!


Du hast wohl selbst noch nie Software entwickelt. Ansonsten wüsstest du, dass generell Input zu validieren ist, da es sonst potenzielle Sicherheitslücken geben wird. Fehlende Validierung == zukünftige Sicherheitslücke.

StringEpsilon hat das schon ganz gut erklärt.

Bzgl. Download des Contents vom Server: Keiner kann gewährleisten, dass in dem Code Hintertürchen eingebaut sind. Das ist ein nicht vermeidbares Restrisiko. Das heißt aber noch lange nicht, dass man auf gängige Sicherheitsmaßnahmen verzichtet.
[Beitrag wurde 2x editiert, zuletzt von DeaD_EyE am 19.06.2014, 01:15]
19.06.2014, 01:11 Uhr Anzeigen
# 29
fsp
Nachricht offline
Headcrab
0 Punkte
Dabei seit: 18.09.2012
190 Beiträge
Zitat:
Original von Trineas

Weil sich gezeigt hat, dass man den Entwicklern nicht trauen kann. Deshalb war es aber keine Sicherheitslücke.


Es hat sich nicht gezeigt, der betreffende Entwickler (Einzahl) hatte lediglich demonstriert was damit möglich ist. Von dem einzelnen auf die gesamte Masse zu schließen ist schon etwas übertrieben.

Um mal mit deinem Vergleich mitzuhalten: Ein Ausländer macht was dem Staat nicht gefällt --> Alle Ausländer raus, hat sich schließlich gezeigt dass man ihnen nicht trauen kann. :rolleyes:
19.06.2014, 16:25 Uhr Anzeigen
# 30
Nachricht offline
Headcrab
83 Punkte
Dabei seit: 10.08.2012
398 Beiträge
Zitat:
Original von fsp

Zitat:
Original von Trineas

Weil sich gezeigt hat, dass man den Entwicklern nicht trauen kann. Deshalb war es aber keine Sicherheitslücke.


Es hat sich nicht gezeigt, der betreffende Entwickler (Einzahl) hatte lediglich demonstriert was damit möglich ist. Von dem einzelnen auf die gesamte Masse zu schließen ist schon etwas übertrieben.


Valve hat/wollte nicht ohne Grund diesen "Bug" drin lassen, aber er musste
es unbedingt an die große Glocke dran hängen und so ne Nummer draus machen.

Dieser "Bug" war gewollt um den Entwicklern mehr Freiheit zu bieten - dies wurde
falsch aufgenommen und deswegen hat Valve vollkommen richtig reagiert.

Sowas kann man auf eine andere Art und Weise klären (wenn Valve es für nötig hält)
diesen "Bug" aber auszunutzen und Valve zu einem Handeln zu zwingen ist vollkommen daneben.

Valve wird sehr gut über ihre Software bescheid wissen wie schnell und stark sie
auf irgendwelche "Bugs" zu reagieren müssen.
[Beitrag wurde 2x editiert, zuletzt von Voodoo1988 am 20.06.2014, 01:34]
20.06.2014, 01:33 Uhr Anzeigen
nach oben
35 Beiträge

Seiten (3):  « 1 [2] 3 »


Gehe zu:  feed_mini Beiträge: RSS, RSS2, ATOM

Sections:  HLP  Board  Mods  Steam      Games:  HL  Op4  HLBS  HL2  HL2:Ep1  HL2:Ep2  Prtl  TF2  TFC  CS  DoD  L4D  Gunman
    USER ONLINE 
Insgesamt sind 22 Benutzer online. Davon sind 0 registriert:
    SITE OPTIONS 
- Zu Favoriten hinzufügen
- Als Startseite festlegen (IE only)
- Fehler auf dieser Seite?