HALF-LIFE PORTAL
Your Gate To Valve's Games www.hl-forum.de
PORTAL
FORUM
LOGIN
User oder E-mail:


Passwort:


oder
Registrieren
Passwort vergessen?
OpenID-Login
MISC
PARTNER

TF2 Crafting

Special Artworks by
Hayungs

Link us:
HL PORTAL

Support us:


HLPortal
auf Facebook

›› Willkommen!   ›› 95.006.667 Visits   ›› 18.316 registrierte User   ›› 22 Besucher online (0 auf dieser Seite)
23.789 Themen, 325.181 Beiträge  
    FORUM 

Thema-Ansicht


Forum > Half-Life Portal > News > Steam: Vertrauensbruch: Bann für Entwickler
Status: Offen
35 Beiträge
Letzter Beitrag Seiten (3):  [1] 2 3 »


Autor Beitrag
# 1
HLP - Ehrenmember
Nachricht offline Admin
Nihilanth
11.193.212 Punkte
Dabei seit: 20.04.2004
8.927 Beiträge
Steam: Vertrauensbruch: Bann für Entwickler
Wer schon einmal im offiziellen Steam-Forum gepostet hat wird wissen, dass man dort, wie etwa auch auf dem Half-Life Portal und vielen anderen Seiten, so genannte BB-Tags verwenden kann, um seinen Text zu formatieren...

Ganze News lesen
17.06.2014, 22:21 Uhr Anzeigen
# 2
HLP - Ehrenmember
Nachricht offline Admin
Thread-Starter
Nihilanth
11.193.212 Punkte
Dabei seit: 20.04.2004
8.927 Beiträge
Was mich am meisten an der Sache nervt, ist, dass zur Zeit nur eine Version der Story im Internet herumgeistert, nämlich die von timmy_cz selbst. Und sich alle Leute darauf basierend eine Meinung bilden, nämlich dass Valve zu unrecht gehandelt hat. Warum?

Weil dieser davon spricht, dass er Sicherheitslücke aufgedeckt hätte und man ihm eigentlich dankbar sein müsste dafür. In Wahrheit hat er nur einfach das Vertrauen von Valve missbraucht und dafür gesorgt, dass andere Entwickler nun kein HTML mehr nutzen können. Und da Valve sich zu so etwas nie öffentlich äußerst, wird nun ausschließlich seine Version der Geschichte verbreitet.

Ein Kommentar den ich dazu gelesen hab und der das schön auf den Punkt bringt: "Mann, ich hab dir immer und immer wieder gesagt, dass du deine Eingangstüre nicht offen lassen darfst. Ich dachte wenn ich reingehe und all deine Sachen stehle, lernst du endlich deine Lektion. Was soll das heißen "verhaftet"?"
17.06.2014, 22:24 Uhr Anzeigen
# 3
Nachricht offline
Ichthyosaur
11.354 Punkte
Dabei seit: 23.12.2007
4.165 Beiträge
Ich finds wiedersprüchlich in sich.

Ich mein, es war ansich ja keine Sicherheitslücke sondern Absicht von valve, logisch kann man da viel scheiße mit machen, aber Valve vertraut nun mal.

Nun kommt der ich sags wirklich mal "Idiot" daher, er weiß ganz genau das Valve ihm vertraut und macht son scheiß trotzdem. War zwar nix böses und auch nicht böse gemeint, aber streng genommen hat ers Vertrauen missbraucht und wurde bestraft.

Natürlich jetzt blöde, das dank dem kleinen (sorry again) Pisser nun alle anderen drann glauben müssen.
17.06.2014, 22:44 Uhr Anzeigen
# 4
Nachricht offline
Headcrab
0 Punkte
Dabei seit: 16.01.2010
270 Beiträge
Ich habe auf GameStar die News zuerst gelesen.
Da dachte ich mir auch, dass es wahrscheinlich nur die eine Seite der Gesichte sein wird.

Btw: Auf GameStar hieß es, dass nicht nur die Community-Features im Bann einbezogen sind, sondern auch Entwickler-Tools??
17.06.2014, 23:03 Uhr Anzeigen
# 5
Nachricht offline
Vortigaunt
662 Punkte
Dabei seit: 30.03.2008
190 Beiträge
Kyle07, ja er hatte sein SteamWorks Access entfernt bekommen, bei SCS arbeitet er anscheinend Hauptsächlich an der Steam Integration ihrer Spiele.
Dies geschah wahrscheinlich damit er seine Ankündigung nicht mehr Editieren kann, bzw. konnte als er es versuchte.

Er konnte sich einloggen auf der Partnerseite, aber es stand da Unaffiliated:
https://dl.dropboxusercontent.com/u/12898921/ss/2014-06/16.EIAesX.png
[Beitrag wurde 2x editiert, zuletzt von GermanDarknes am 17.06.2014, 23:08]
17.06.2014, 23:07 Uhr Anzeigen
# 6
HLP - Programmierer
Nachricht offline
Hound Eye
112 Punkte
Dabei seit: 28.09.2011
258 Beiträge
Ich muss timmy_cz Recht geben: es ist eine Sicherheitslücke (wenn auch nicht eine super kritische, aber es ist eine). HTML verwenden schön und gut, da hat ja auch niemand was dagegen. Dass Valve allerdings Script-Tags (ganz ehrlich: wozu braucht ein Eintwickler in einer Ankündigung JavaScript?) zulässt geht in meinen Augen gar nicht.

Was wäre theoretisch möglich: irgendwer kommt auf welchem Wege auch immer an die Account-Daten eines Entwicklers. Nun muss er nur noch eine Ankündigung schreiben mit einer reißerischen Überschrift, auf den viele Nutzer klicken.
Nun kann er:
- Ein verseuchtes Flash-Objekt laden
- Den Nutzer auf eine verseuchte Seite weiterleiten
- Dem Nutzer die Steam-Login Seite vorgaukeln (ohne, dass eine andere Seite geladen werden müsste!), er solle doch bitte mal seine Login-Daten eingeben. Der gewöhnliche Nutzer würde das vielleicht hinterfragen, aber viele würden sie dennoch eingeben. (Ich weiß, es gibt immer noch Steam Guard, aber da es bestimmt Leute gibt, die ihre Logindaten auch auf anderen Seiten verwenden war es dennoch ein Gewinn für den Angreifer)
- ...?

Und aus oben genannten Fall sollte Valve zumindest alle Möglichkeiten von XSS Attacken entfernen und nicht den Entwicklern freie Fahrt lassen.

Und der Community-Ban ist meiner Meinung nach nicht gerechtfertigt, da er das System nicht missbraucht hat, um Schaden anzurichten, sondern um öffentlich auf ein Problem hinzuweisen.
Als Extrem-Beispiel: Edward Snowden hat auch Lücken im Sichherheitskonzept der NSA missbraucht, um die Öffentlichkeit auf Missstände hinzuweisen, nicht um die Infos teuer an den FSB zu verkaufen. Ist der Versuch der USA, ihn mundtot zu machen, gerechtfertigt?
[Beitrag wurde 3x editiert, zuletzt von Mator am 17.06.2014, 23:16]
17.06.2014, 23:14 Uhr Anzeigen
# 7
Nachricht offline
Bullsquid
1.051 Punkte
Dabei seit: 05.02.2005
389 Beiträge
Schließe mich da MatorKaleen an. Javascript zuzulassen ist einfach eine schlechte Idee und wird irgendwann von jemandem ausgenutzt. Valve könnte einfach eine Teilmenge HTML zulassen und das Problem wäre vom Tisch.

Gibt es eigentlich eine offizielle Begründung für den Bann (bzw. die Regel gegen die verstoßen wurde)?
[Beitrag wurde 1x editiert, zuletzt von phreazer am 18.06.2014, 00:50]
18.06.2014, 00:50 Uhr Anzeigen
# 8
fsp
Nachricht offline
Headcrab
0 Punkte
Dabei seit: 18.09.2012
190 Beiträge
Zitat:
Original von Trineas

Was mich am meisten an der Sache nervt, ist, dass zur Zeit nur eine Version der Story im Internet herumgeistert, nämlich die von timmy_cz selbst. Und sich alle Leute darauf basierend eine Meinung bilden, nämlich dass Valve zu unrecht gehandelt hat. Warum?


Ist auch so, dem "Kill the messenger" führt halt zu nichts.

Zitat:
Original von Trineas

Weil dieser davon spricht, dass er Sicherheitslücke aufgedeckt hätte und man ihm eigentlich dankbar sein müsste dafür. In Wahrheit hat er nur einfach das Vertrauen von Valve missbraucht und dafür gesorgt, dass andere Entwickler nun kein HTML mehr nutzen können. Und da Valve sich zu so etwas nie öffentlich äußerst, wird nun ausschließlich seine Version der Geschichte verbreitet.


Dann soll Valve sich dazu äußern, Problem gelöst. Aber nicht auf Ignoranten spielen, es ist nunmal eine Sicherheitslücke gewesen. Denn HTML ist zur Gestaltung da, nicht um fremde Skripte einzubinden.
18.06.2014, 00:55 Uhr Anzeigen
# 9
HLP - Webmaster
Nachricht offline Admin
Gargantua
25.828 Punkte
Dabei seit: 27.09.2003
6.051 Beiträge
Zitat:
Original von fsp

[...]
Dann soll Valve sich dazu äußern, Problem gelöst. Aber nicht auf Ignoranten spielen, es ist nunmal eine Sicherheitslücke gewesen. Denn HTML ist zur Gestaltung da, nicht um fremde Skripte einzubinden.


Was willst du denn von Valve hören? Sie haben das "Problem" beseitigt und fertig.
18.06.2014, 01:03 Uhr Anzeigen
# 10
HLP - Webmaster
Nachricht offline Admin
Gargantua
25.828 Punkte
Dabei seit: 27.09.2003
6.051 Beiträge
Noch was:
Wenn ich einem Geschäftspartner eine Funktionalität auf meiner Plattform bereitstelle (in dem Fall HTML-Text), dann erwarte ich von ihm, dass er es für den dafür vorgesehenen Zweck vernünftig einsetzt und nicht für Unfug missbraucht. Ansonsten ist er die längste Zeit ein "Partner" gewesen. Wir reden hier nicht von irgendwelchen Usern, sondern von jemandem der sein Produkt auf "meiner" Plattform vertreiben möchte. Da geht er Rechte und Pflichten ein. Und dazu gehört auch, das System (für welchen Unsinn auch immer) nicht zu missbrauchen.

Den Plattformbetreiber (wie lange vorher auch immer) aber auf ein Problem aufmerksam zu machen (sofern das überhaupt der Fall war), und dann eben genau dieses Problem selbst auszunützen und den Betreiber damit bloß zu stellen, ist einfach nur frech.
[Beitrag wurde 2x editiert, zuletzt von King2500 am 18.06.2014, 01:19]
18.06.2014, 01:17 Uhr Anzeigen
# 11
HLP - Ehrenmember
Nachricht offline Admin
Thread-Starter
Nihilanth
11.193.212 Punkte
Dabei seit: 20.04.2004
8.927 Beiträge
Zitat:
Original von fsp

Dann soll Valve sich dazu äußern, Problem gelöst. Aber nicht auf Ignoranten spielen, es ist nunmal eine Sicherheitslücke gewesen. Denn HTML ist zur Gestaltung da, nicht um fremde Skripte einzubinden.


Es ist keine Sicherheitslücke gewesen. Wenn man den Entwicklern nicht trauen kann, dass sie ein Tool nicht missbrauchen, dann dürften sie ja überhaupt nichts über Steam veröffentlichen. Darüber könnten sie Viren und Malware verbreiten, viel schlimmere Dinge als sie jemals mit HTML anstellen könnten.
18.06.2014, 01:21 Uhr Anzeigen
# 12
fsp
Nachricht offline
Headcrab
0 Punkte
Dabei seit: 18.09.2012
190 Beiträge
Zitat:
Original von Trineas

Es ist keine Sicherheitslücke gewesen. Wenn man den Entwicklern nicht trauen kann, dass sie ein Tool nicht missbrauchen, dann dürften sie ja überhaupt nichts über Steam veröffentlichen. Darüber könnten sie Viren und Malware verbreiten, viel schlimmere Dinge als sie jemals mit HTML anstellen könnten.


Das Spiel hat nicht jeder, HTML versteht aber jeder Browser. Das ist mengenmäßig nicht vergleichbar.

Zitat:
Original von King2500

Was willst du denn von Valve hören? Sie haben das "Problem" beseitigt und fertig.


Naja weil kritisiert wurde das nur eine Sichtweise vorhanden ist. Dann sollte eben von Valve eine zweite kommen, dann wär das Problem auch gelöst.
18.06.2014, 02:48 Uhr Anzeigen
# 13
Nachricht offline
Headcrab
0 Punkte
Dabei seit: 18.06.2014
4 Beiträge
Zitat:
Original von Trineas

Zitat:
Original von fsp

Dann soll Valve sich dazu äußern, Problem gelöst. Aber nicht auf Ignoranten spielen, es ist nunmal eine Sicherheitslücke gewesen. Denn HTML ist zur Gestaltung da, nicht um fremde Skripte einzubinden.


Es ist keine Sicherheitslücke gewesen. Wenn man den Entwicklern nicht trauen kann, dass sie ein Tool nicht missbrauchen, dann dürften sie ja überhaupt nichts über Steam veröffentlichen. Darüber könnten sie Viren und Malware verbreiten, viel schlimmere Dinge als sie jemals mit HTML anstellen könnten.


HTML ist schon Okay. Javascript - wenn das wirklich erlaubt war - nicht. Cross-Site-Scriping ist böse. Persistentes Cross-Site-Scripting ist wirklich übel. Hast du von dem "selbst-retweetenden" Tweet gehört? Das war persistentes XSS.

Damit kann man alles mögliche anstellen. Session-Cookies klauen, Aktionen im Browser durchführen, Downloads anstoßen, Dinge in den Local Storage vom Browser schreiben, content (z.b. weitere Scripts) nachladen, Requests absetzen, etc. ... und nicht jeder hat NoScript. Da die Foren auch über Steam zugängig sind UND Steam mehr oder minder ein Browser ist, kann man mit XSS in Foren-Posts bzw. Announcements sehr, sehr viel schaden anrichten, wenn man weiß was man tut.

XSS ist in jedem verdammten Fall zu vermeiden. Traue niemandem.

Edit: Es ist außerdem leichter für Valve die hochgeladenen Spiele-Dateien auf Viren zu prüfen als alle Forenposts auf XSS.
[Beitrag wurde 1x editiert, zuletzt von StringEpsilon am 18.06.2014, 07:33]
18.06.2014, 07:27 Uhr Anzeigen
# 14
HLP - Programmierer
Nachricht offline
Hound Eye
112 Punkte
Dabei seit: 28.09.2011
258 Beiträge
Zitat:
Original von Trineas

Es ist keine Sicherheitslücke gewesen. Wenn man den Entwicklern nicht trauen kann, dass sie ein Tool nicht missbrauchen, dann dürften sie ja überhaupt nichts über Steam veröffentlichen. Darüber könnten sie Viren und Malware verbreiten, viel schlimmere Dinge als sie jemals mit HTML anstellen könnten.


Es ist eben schon eine Sicherheitslücke gewesen. EIne Zeit lang war es möglich, über JavaScript Facebook-Seiten zu liken. So etwas würde Valve nicht mitkriegen und die Spielefirma freut sich über Likes.

Und da es anscheinend nicht so schwer ist, sein "Spiel" in den Store zu bringen, ist dies durchaus für andere Angreifer ein interessantes Ziel. StringEpsilon hat ja noch ein paar Beispiele genannt (an Session-Klau hab ich gar nicht gedacht, danke dafür).

Wenn ich Steam verwende, dann vertraue ich darauf, dass Valve die Plattform sicher hält. Dieses Gefühl wurde mir unter anderem auch dadurch gegeben, dass sie bisher alle Sicherheitsprobleme offen diskutiert haben und nicht versucht haben, unter den Tisch zu kehren. Und ich sehe XSS als kritische Sicherheitslücke und bin deshalb sehr glücklich, dass das behoben wurde.
18.06.2014, 08:33 Uhr Anzeigen
# 15
Nachricht offline
Hound Eye
100 Punkte
Dabei seit: 16.06.2009
193 Beiträge
Natürlich ist das eine Sicherheitslücke. Sorry Trineas aber du beweist mal wieder optimal, dass du Valve über voreingenommen bist. Nehm ich dir nicht übel, sicher nicht, die News ist neutral und korrekt gehalten und deine Meinung packst du in die Kommentare, wo sie hingehören. Richtig so. Ändert aber nichts daran, dass dies eine Lücke war. Klar kann man von seinen Partner verlangen, dass sie sich an die Regeln halten. Allerdings tun das nicht alle. Es wurden ja schließlich auch schon Spiele von Valve entfernt, weil diese falsch beworben wurde. Außerdem kann ja auch ein Entwickler-Account gehackt werden und diese Seite somit unfreiwillig (und unbemerkt) geändert werden. Timmy ist nicht der Grund, wieso Entwickler aktuell kein HTML mehr nutzen dürfen/können, sondern Valve. Er hat lediglich darauf hingewiesen, dass die Funktion missbraucht werden kann. Da Valve wohl - sofern seine Story stimmt - nicht hören wollte. Selbst, wenn die Version von ihm falsch ist, dann zeigt es eben, dass die Funktion eben DOCH missbraucht werden konnte und somit eine Sicherheitslücke war. Der Ban wird nach den medialen Druck sicher nicht in dieser Form bestehen bleiben. Kann ich mir nicht vorstellen.
18.06.2014, 11:21 Uhr Anzeigen
nach oben
35 Beiträge

Seiten (3):  [1] 2 3 »


Gehe zu:  feed_mini Beiträge: RSS, RSS2, ATOM

Sections:  HLP  Board  Mods  Steam      Games:  HL  Op4  HLBS  HL2  HL2:Ep1  HL2:Ep2  Prtl  TF2  TFC  CS  DoD  L4D  Gunman
    USER ONLINE 
Insgesamt sind 22 Benutzer online. Davon sind 0 registriert:
    SITE OPTIONS 
- Zu Favoriten hinzufügen
- Als Startseite festlegen (IE only)
- Fehler auf dieser Seite?