|
|
|
›› Willkommen! ›› 95.244.867 Visits ›› 18.316 registrierte User ›› 14 Besucher online (0 auf dieser Seite)
|
|
 |
Steam Vertrauensbruch: Bann für Entwickler
17.06.2014 | 22:21 Uhr | von Trineas
|
8.839 Hits
34 Kommentare
1 viewing
|
 |
Wer schon einmal im offiziellen Steam-Forum gepostet hat wird wissen, dass man dort, wie etwa auch auf dem Half-Life Portal und vielen anderen Seiten, so genannte BB-Tags verwenden kann, um seinen Text zu formatieren. Für Ankündigungen in den Spiele-Hubs stand den Entwicklern bisher allerdings auch HTML zur Verfügung, was höhere Komplexität aber theoretisch auch Missbrauch erlaubt. Das gefiel einem Entwickler von Euro Truck Simulator 2 mit dem Steam-Nickname timmy_cz gar nicht und er meldete es Valve als einen Bug. Dem Vernehmen nach erklärte Valve allerdings, dass man es nicht als Gefahr betrachte und man Entwicklern vertraut, es nicht zu missbrauchen.
Das schmeckte ihm aber nicht und um zu beweisen, dass man Entwicklern nicht vertrauen kann, erstellte er ein kleines HTML-Script, das Elemente der offiziellen Steam-Seite wackeln ließ, während die "Harlem Shake"-Musik im Hintergrund abgespielt wurde. Valve reagierte darauf mit zwei Schritten: Erstens wurde Entwicklern nun die Möglichkeit genommen weiterhin HTML zu verwenden. Ankündigungen müssen nun mit BB-Code formatiert werden, was allerdings einige Nachteile hat. Ein Entwickler beklagte sich etwa, dass er nun nicht mehr direkt den Code von der eigenen Seite auf Steam übernehmen kann. Und zweitens erhielt timmy_cz einen einjährigen Steam-Community-Bann. Damit kann er zwar weiterhin auf seine Spiele zugreifen, allerdings nicht mehr die Community-Features wie Foren oder den Market nutzen.
Valve arbeitet seit einigen Jahren daran, Steam als offene Plattform zu etablieren und sieht dabei Entwickler von anderen Spielen als gleichberechtigte Partner mit entsprechenden Rechten und Pflichten.
|
|
Zitat:
Original von fsp
Nachtrag: Wenn es keine Sicherheitslücke ist, warum wurde die Funktion dann entfernt?
|
Weil sich gezeigt hat, dass man den Entwicklern nicht trauen kann. Deshalb war es aber keine Sicherheitslücke. Wenn du Leute zu dir nach Hause einlädst, dann öffnest du damit ja auch keine Sicherheitslücke. Du vertraust darauf, dass die sich ordentlich verhalten, schließlich sind das deine Bekannten. Wenn nun einer von ihnen Sachen mitgehen lässt, wirst du ihn in Zukunft nicht mehr einladen, aber niemand wird dir vorwerfen, dass du irgendein unverantwortbares Risiko eingegangen bist, da es ein ganz normales Verhalten ist Leute einzuladen. Und genauso ist es ein normales Verhalten, seinen Entwicklungspartnern entsprechende Tools zur Verfügung zu stellen. Aus gutem Grund hat Valve diese Tools ja nicht allen Nutzern in die Hand gegeben, sondern nur den Geschäftspartnern, denen man vertraut(e).
Laut deiner Logik wäre es nämlich jetzt immer noch eine Sicherheitslücke, weil weiterhin Valve-Mitarbeiter Zugriff darauf haben und schädlichen Code ausführen könnten. Oder kannst du garantieren, dass ein Valve-Mitarbeiter das niemals machen würde oder dass sein Account nicht kompromittiert werden kann? Niemand kann das, man kann nur das Risiko auf ein sinnvolles Maß reduzieren. Bisher ging man davon aus, dass dies auch Entwicklungspartner beinhaltet, nun sieht man das anders.
Aber deshalb war und ist es keine Sicherheitslücke. Das war eine bewusste Einschätzung und Entscheidung, kein Versehen oder Bug oder sonst etwas.
|
|
 18.06.2014, 20:02 Uhr |
|
|
|
timmy_cz war vollkommen im Recht. Es wurde oft genug bewiesen, dass grade in Zeiten von Greenlight die einzelnen Entwickler nicht als unbedingt vertrauenswürdig gelten. Durch diese XSS-Lücke könnten beispielsweise vollkommen unbemerkt Session-Cookies gestohlen werden, mit welchen man sich als fremder Account in die Steamcommunity einloggen kann.
|
|
| 18.06.2014, 20:36 Uhr |
|
|
|
Zitat:
Original von Trineas
Zitat:
Original von fsp
Nachtrag: Wenn es keine Sicherheitslücke ist, warum wurde die Funktion dann entfernt?
|
Weil sich gezeigt hat, dass man den Entwicklern nicht trauen kann. Deshalb war es aber keine Sicherheitslücke. Wenn du Leute zu dir nach Hause einlädst, dann öffnest du damit ja auch keine Sicherheitslücke. Du vertraust darauf, dass die sich ordentlich verhalten, schließlich sind das deine Bekannten. Wenn nun einer von ihnen Sachen mitgehen lässt, wirst du ihn in Zukunft nicht mehr einladen, aber niemand wird dir vorwerfen, dass du irgendein unverantwortbares Risiko eingegangen bist, da es ein ganz normales Verhalten ist Leute einzuladen. Und genauso ist es ein normales Verhalten, seinen Entwicklungspartnern entsprechende Tools zur Verfügung zu stellen. Aus gutem Grund hat Valve diese Tools ja nicht allen Nutzern in die Hand gegeben, sondern nur den Geschäftspartnern, denen man vertraut(e).
|
Traue niemandem. Und erst recht nicht, wenn es darum geht beliebigen Javascript-Code auf deiner Webseite zu hinterlassen. Sogar Banken untersuchen eingehende Buchungen anderer Banken auf potenziell verdächtigen Krempel wie Injections oder eben XSS....
Zitat:
Original von Trineas
Laut deiner Logik wäre es nämlich jetzt immer noch eine Sicherheitslücke, weil weiterhin Valve-Mitarbeiter Zugriff darauf haben und schädlichen Code ausführen könnten. Oder kannst du garantieren, dass ein Valve-Mitarbeiter das niemals machen würde oder dass sein Account nicht kompromittiert werden kann? Niemand kann das, man kann nur das Risiko auf ein sinnvolles Maß reduzieren. Bisher ging man davon aus, dass dies auch Entwicklungspartner beinhaltet, nun sieht man das anders.
|
Programmierer werden in ihrer Tätigkeit überwacht. Für kritische Softwware gibt es in jedem guten Unternehmen Code-Reviews. Außerdem gibt es eine Versionverwaltung mit der sich einwandfrei nachvollziehen lässt wer, was wann programmiert hat. Wenn du fremden Leuten ein script-tag in die Hand drückst, dann kannst du schlichtweg nicht mehr nachvollziehen was wann wo ausgeführt wurde. Der vergleich scheitert also allein schon an diesem Punkt. Außerdem gibt es IMMER einen Unterschied zwischen einem internen und einem externen Entwickler, wenn es um vertrauen geht.
Zitat:
Original von Trineas
Aber deshalb war und ist es keine Sicherheitslücke. Das war eine bewusste Einschätzung und Entscheidung, kein Versehen oder Bug oder sonst etwas.
|
Um in deinem Vergleich zu bleiben: Du lädst nicht einfach nur Freunde zu dir ein. Du gibst all deinen Party-Bekanntschaften einen Schlüssel für deinen Dienstwagen, mit der Bitte doch bitte nicht zu schnell damit zu fahren. Und erst als einer deiner "Freunde" mit 120 durch die Innenstadt fährst, stellst du fest dass das vielleicht nicht klug war.
|
|
| 18.06.2014, 20:54 Uhr |
|
|
|
HIER wird ganz gut erklärt wie mächtig eine solche Lücke sein kann...
https://www.youtube.com/watch?v=L5l9lSnNMxg
Und wie solche Lücken normalerweise entstehen. Dem User gleich ein Script-Tag in die Hand geben ist natürlich einfacher...
|
|
| 18.06.2014, 21:01 Uhr |
|
|
|
@StringEpsilon
Die Sache ist nur: Die Entwickler haben alle einen direkten Zugriff auf deine Festplatte. Was die auf die Steam-Server hochladen lädt Steam bei dir runter. Da gibt es keine Code Reviews, keine Überprüfung, nichts. Wenn man also Entwicklern nicht vertrauen kann, dass sie mit HTML und Scripts keinen Mist bauen, wie kann man ihnen dann vertrauen, dass sie mit ihren Spielen keinen Mist bauen? Das widerspricht sich einfach. Entweder ich vertraue ihnen oder ich tue es nicht.
Wie sieht die Situation jetzt aus? Die Entwickler müssen BB-Code verwenden, weil man Angst davor hat, dass sie irgendwelche Scripte in ihre Announcement-Seiten einbinden, gleichzeitig bestimmen sie aber was Steam automatisch bei dir runterlädt. Jedes mögliche ausführbare Programm, jeden Virus, jeden Trojaner, jeden Keylogger oder was auch sonst ihnen einfällt.
|
|
| 18.06.2014, 21:27 Uhr |
|
|
|
Eben, deswegen sehe ich die Entwicklung von Steam in Richtung immer weniger Kontrolle bzw. gar keine Kontrolle durch Valve schon länger sehr kritisch. Valve macht es potentiellen Betrügern immer leichter das blinde Vertrauen der Kunden , in diesem Fall wohl hauptsächlich Jugendliche und junge Erwachsene, auszunutzen.
|
|
| 18.06.2014, 23:15 Uhr |
|
|
|
Zitat:
Original von Fixx
Fehlende Validierung = Sicherheitslücke??
Das ist so nicht richtig!
|
Du hast wohl selbst noch nie Software entwickelt. Ansonsten wüsstest du, dass generell Input zu validieren ist, da es sonst potenzielle Sicherheitslücken geben wird. Fehlende Validierung == zukünftige Sicherheitslücke.
StringEpsilon hat das schon ganz gut erklärt.
Bzgl. Download des Contents vom Server: Keiner kann gewährleisten, dass in dem Code Hintertürchen eingebaut sind. Das ist ein nicht vermeidbares Restrisiko. Das heißt aber noch lange nicht, dass man auf gängige Sicherheitsmaßnahmen verzichtet.
|
|
| 19.06.2014, 01:11 Uhr |
|
|
|
Zitat:
Original von Trineas
Weil sich gezeigt hat, dass man den Entwicklern nicht trauen kann. Deshalb war es aber keine Sicherheitslücke.
|
Es hat sich nicht gezeigt, der betreffende Entwickler (Einzahl) hatte lediglich demonstriert was damit möglich ist. Von dem einzelnen auf die gesamte Masse zu schließen ist schon etwas übertrieben.
Um mal mit deinem Vergleich mitzuhalten: Ein Ausländer macht was dem Staat nicht gefällt --> Alle Ausländer raus, hat sich schließlich gezeigt dass man ihnen nicht trauen kann. 
|
|
| 19.06.2014, 16:25 Uhr |
|
|
|
Zitat:
Original von fsp
Zitat:
Original von Trineas
Weil sich gezeigt hat, dass man den Entwicklern nicht trauen kann. Deshalb war es aber keine Sicherheitslücke.
|
Es hat sich nicht gezeigt, der betreffende Entwickler (Einzahl) hatte lediglich demonstriert was damit möglich ist. Von dem einzelnen auf die gesamte Masse zu schließen ist schon etwas übertrieben.
|
Valve hat/wollte nicht ohne Grund diesen "Bug" drin lassen, aber er musste
es unbedingt an die große Glocke dran hängen und so ne Nummer draus machen.
Dieser "Bug" war gewollt um den Entwicklern mehr Freiheit zu bieten - dies wurde
falsch aufgenommen und deswegen hat Valve vollkommen richtig reagiert.
Sowas kann man auf eine andere Art und Weise klären (wenn Valve es für nötig hält)
diesen "Bug" aber auszunutzen und Valve zu einem Handeln zu zwingen ist vollkommen daneben.
Valve wird sehr gut über ihre Software bescheid wissen wie schnell und stark sie
auf irgendwelche "Bugs" zu reagieren müssen.
|
|
| 20.06.2014, 01:33 Uhr |
|
|
|
Zitat:
Original von Voodoo1988
Valve hat/wollte nicht ohne Grund diesen "Bug" drin lassen, aber er musste
es unbedingt an die große Glocke dran hängen und so ne Nummer draus machen.
|
http://www.bioinformatics.org/phplabware/intern...htmLawed/secure_JS_WYSIWYG.htm
Zitat:
Original von Voodoo1988
Dieser "Bug" war gewollt um den Entwicklern mehr Freiheit zu bieten - dies wurde
falsch aufgenommen und deswegen hat Valve vollkommen richtig reagiert.
|
Ja, Valve hat richtig reagiert und diese Funktion deaktiviert.
Zitat:
Original von Voodoo1988
Sowas kann man auf eine andere Art und Weise klären (wenn Valve es für nötig hält)
diesen "Bug" aber auszunutzen und Valve zu einem Handeln zu zwingen ist vollkommen daneben.
|
Ein Bug, der ein Exploit ermöglicht. Was soll man da zulassen?
Zitat:
Original von Voodoo1988
Valve wird sehr gut über ihre Software bescheid wissen wie schnell und stark sie
auf irgendwelche "Bugs" zu reagieren müssen.
|
Hat man ja gesehen. Mein Tip für die Zukunft: Solche Exploits verkaufen. Dann muss man sich den geistigen Schwachsinn der Community nicht reinziehen, erspart sich die Auseinandersetzung mit den Entwicklern, bekommt Geld für Pizza und Cola und bleibt anonym.
Wenn die Community Pech hat, werden dann solche Exploits genutzt um z.B. Kreditkartendaten abzugreifen, Items zu entwenden usw. Alles womit sich schnell viel Geld verdienen lässt. Aber ich will ja nicht den Teufel an die Wand malen....
Alle großen Unternehmen wie Google, Facebook, Yahoo usw. zahlen hohe Summen, wenn Exploits gemeldet werden. Die haben mittlerweile gelernt, wie hoch der Schaden ist, wenn man sich nicht um Sicherheitslücken kümmert. Die Reaktion von Valve entspricht eher die eines kleinen Kindes.
|
|
| 20.06.2014, 21:04 Uhr |
|
|
|
Zitat:
Original von DeaD_EyE
Hat man ja gesehen. Mein Tip für die Zukunft: Solche Exploits verkaufen. Dann muss man sich den geistigen Schwachsinn der Community nicht reinziehen, erspart sich die Auseinandersetzung mit den Entwicklern, bekommt Geld für Pizza und Cola und bleibt anonym.
|
Wäre es nicht lohnender, wenn man in sein Spiel einen Bot einpflegt und dann ein Botnetz verkauft?
Denn um diesen "Exploit" zu verwenden bedarf es immer noch einen Entiwckleraccount, und spätestens dann ist man nicht mehr anonym. Auch ist es weitaus schwieriger im Binärcode eines Spieles einen Bot zu finden, als ein böses JavaScript innerhalb einer Seite.
Zitat:
Original von DeaD_EyE
Wenn die Community Pech hat, werden dann solche Exploits genutzt um z.B. Kreditkartendaten abzugreifen, Items zu entwenden usw. Alles womit sich schnell viel Geld verdienen lässt. Aber ich will ja nicht den Teufel an die Wand malen....
|
Und wie nennst du dann das, was du tust? Den Teufel mit einem Beamer nur auf die Wand projizieren?
Zitat:
Original von DeaD_EyE
Alle großen Unternehmen wie Google, Facebook, Yahoo usw. zahlen hohe Summen, wenn Exploits gemeldet werden. Die haben mittlerweile gelernt, wie hoch der Schaden ist, wenn man sich nicht um Sicherheitslücken kümmert. Die Reaktion von Valve entspricht eher die eines kleinen Kindes.
|
Da ist die Lage allerdings anders, weil da potentiell jeder Zugriff auf diese Exploits hat. Bei Valve sind es nur die Entwickler, die dir eh alles auf deinen PC laden könnten.
|
|
| 21.06.2014, 11:52 Uhr |
|
|
|
Ein eigenes Botnetz kommt nicht in Frage, da man früher oder später eh erwischt wird. Gelder, die von A über B nach C fließen, lassen sich auch verfolgen. Auch der Transfer von Bitcoin lässt sich nachvollziehen.
Da ist der Verkauf an Unternehmen, die mit diesen Exploits handeln (an Kriminelle, Regierungen usw.) wesentlich einfacher und sicherer. Als Entdecker der Lücke ist man aus dem Schneider, da man mit der ganzen Sache nichts mehr zu tun hat und auch keinen weiteren Einfluss darauf hat.
Wie so ein Exploit genutzt wird, hängt ganz vom Nutzen ab. Sicherlich ist es schwieriger einen Entwickler einzuschleusen, der irgendein Drecksspiel über Steam anbietet, als gängige Lücken im OS auszunutzen. Sobald ein Exploit verkauft worden ist, hat das den Verkäufer aber auch nicht mehr zu interessieren wer was wie damit macht...
Da der Personenkreis mit dem Zugriff auf diese Lücke recht klein gewesen ist, hätte man sicherlich auch nicht viel dafür bekommen. Das spielt aber auch keine Rolle. Der Entdecker ist aus dem Schneider und die Community und Valve hätten es wahrscheinlich nie erfahren oder zur gegebenen Zeit.
Valve sollte das Spielchen schon kennen. Unternehmen denen schon einmal Sourcecode entwendet worden ist, sollten eigentlich wissen wie "böse" das Internet ist und wie vorsichtig man sein sollte.
|
|
| 21.06.2014, 16:09 Uhr |
|
|
|
Zitat:
Original von MatorKaleen
Wäre es nicht lohnender, wenn man in sein Spiel einen Bot einpflegt und dann ein Botnetz verkauft?
Denn um diesen "Exploit" zu verwenden bedarf es immer noch einen Entiwckleraccount, und spätestens dann ist man nicht mehr anonym. Auch ist es weitaus schwieriger im Binärcode eines Spieles einen Bot zu finden, als ein böses JavaScript innerhalb einer Seite.
|
Dazu muss man das Spiel aber erstmal starten. Über den Browser hast du einfach eine viel höhere Reichweite.
|
|
| 21.06.2014, 16:36 Uhr |
|
|
|
@DeaD_EyY
Du entfernst dich vin der eigentlichen Thematik und erörterst ein generelles Problem. In diesem Fall liegt aber keine Sicherheitsläücke vor, die man in irgendeiner Art und Weise verkaufen könnte, da man nicht anonymen in eine Position kommen kann, in welcher man sie ausnutzen kann. Und den Verkauf einer Sicherheitslücke kann man im Falle der Auffindung des Käufers nicht nachvollziehen?
Zitat:
Wie so ein Exploit genutzt wird, hängt ganz vom Nutzen ab. Sicherlich ist es schwieriger einen Entwickler einzuschleusen, der irgendein Drecksspiel über Steam anbietet, als gängige Lücken im OS auszunutzen. Sobald ein Exploit verkauft worden ist, hat das den Verkäufer aber auch nicht mehr zu interessieren wer was wie damit macht...
|
Du reist meine Argumentation aus dem Kontext: das mit dem Botnetz war nur ein Beispiel, um aber die "Sicherheitslücke", welche im Artikel beschrieben wird, auszunutzen, musst du Entwickler sein. Deshalb macht der Absatz auf den eigentlichen Kontext hier bezogen keinen Sinn.
Du redest immer vom Verkaufen von Sicherheitslücken, aber das ist auf diesen konkreten Fall nicht anwendbar.
@fsp
Du hast so aber mehr Möglichkeiten, was du auf dem Rechner machen kannst, und modifizierter Binärcode ist praktisch unauffindbar. Und wie viele der Spieler tatsächlich die Ankündigungen im Forum lesen weiß man auch nicht (aber ich behaupte mal, dass jemand, der das Spiel nicht aktiv spielt, die Ankündigungen wahrscheinlich auch nicht lesen wird).
|
|
| 21.06.2014, 18:35 Uhr |
|
Du musst dich einloggen, um Kommentare schreiben zu können Du hast nicht die erforderlichen Rechte einen Kommentar zu schreiben.
Solltest du eine Account-Strafe haben, findest du nähere Informationen in deinem Profil unter Verwarnungen.
|
|
|
|
