|
(c217)KwarK
|
25.10.2009 18:35
|
|
|
|
(BoK)Voodoo(Admin)
|
25.10.2009 19:03
|
|
?
|
|
(pnh)ScHaTtEn
|
25.10.2009 19:23
|
|
plaintext passwörter oder wie?
|
|
|
25.10.2009 19:34
|
|
Ich bin erstaunt, dass diese uralte Sicherheitslücke bei euch noch nicht erkannt wurde. Weiterhin ist es absolut unverantwortlich gegenüber allen Usern die Passwörter unverschlüsselt zu speichern.
|
|
akiller
|
25.10.2009 19:35
|
|
Ein wares Wort!
|
|
(56k)SpooKy
|
25.10.2009 19:36
|
|
Ich bin erschüttert....
|
|
(N)don
|
25.10.2009 19:46
|
sorry voodoo aber du bist programmiertechnisch echt ein versager. muss ich einfach mal so sachen.
wer bitte speichert passwörter unverschlüsselt in einer datenbank?
echt unverantwortlich!!!!
|
|
(PoW)Phoenix
|
25.10.2009 19:52
|
|
Ganz großes Tennis...
|
|
|
25.10.2009 19:55
|
|
Seit Jahrzehnten hasht man Passwörter und verwendet auch noch einen Salt pro User so das man mindestens auf 16 Zeichen kommt. Wir leben im CUDA und Playstation Zeitalter. So ein Pfusch!
|
|
(N)don
|
25.10.2009 19:58
|
|
nicht mal ne entschuldigung. voodoo du bist der grund dafür, dass es die stammkneipe gibt, aber du wirst auch der grund dafür sein, dass die stammkneipe untergeht.
|
|
|
25.10.2009 19:58
|
|
starqqq
|
|
(unL)Thorben
|
25.10.2009 20:16
|
|
sehr übel :(
|
|
|
25.10.2009 20:23
|
so, spielerdelete wird nach diesen posting durchgeführt.
lasse mich doch nicht verarschen. und voodoo spielt dann in der zwischenzeit mit den restlichen passwörtern (die wahrscheinlich immer noch als plaintext angezeigt werden) weiter tennis oder wie?
such dir lieber nen coder, keinen designer ...
|
|
|
25.10.2009 20:24
|
Zum Glück bin ich hier nicht mehr aktiv und habe nen komplett sinnfreies PW genutzt ..
Sowas könnte man u.a. schon einreichen um Sammelklage zu erheben.
Denk mal über das Thema Datenschutz nach, luschen Administrator ..
Von der Nachricht und wie diese geschrieben wurde mal ganz abgesehen ..
|
|
|
25.10.2009 20:25
|
|
Mein delete übrigens auch ..
|
|
Steel
|
25.10.2009 20:30
|
|
Wir können uns nur entschuldigen, aber können euch auch versichern das diese Lücke nur kurz aktive war, und mit einem Update reingerutscht ist. Leider ist dies nicht zu verhindern. Und es kommt auch auf anderen Seiten zu solchen Ereignissen. Klar ist die keine Entschuldigung. Aber wir stehen auch dazu und sagen hier jedem bescheid.
|
|
jysk
|
25.10.2009 20:34
|
|
Wie lange war diese "Lücke" aktiv?
|
|
(3d)haze
|
25.10.2009 20:51
|
|
ROFL Steel.. das ihr uns Bescheid sagt ist ja wohl mal das mindeste..
|
|
(BoK)Voodoo(Admin)
|
25.10.2009 21:03
|
ja, sorry, ich bin ein schlechter programmiere, ein vergessenes hochkomma und schon passiert sowas...
der Bug hat sich im Laufe dieses Jahres eingeschlichen, wann genau kann ich nicht sagen...
das die passwörter unverschlüsselt gespeichert werden liegt vielleicht daran das ich nicht an Leute gedacht habe die hier das gleiche Pass verwenden wie in anderen wohl wichtigeren Systemen, da dies aber scheinbar häufiger vorkommt werden wir hier auch auf verschlüsselte speicherung umstellen falls es mal wieder eine Sicherheitslücke gibt durch die man sich Daten anzeigen lassen kann die nicht für jedermann bestimmt sind...
|
|
Final
|
25.10.2009 21:03
|
|
Das kann mach auch freundlicher sagen.
|
|
(K1WP)Brain
|
25.10.2009 21:45
|
|
Also DAS ist echt schon krass...schonmal daran gedacht das sowas auch Rechtliche Schritte nach sich ziehen kann ? Ich würde mir mal ganz schnell nen Kopf machen... und mit der Löschung einzelner zu drohen ist auch ein Ding für sich. Natürlich können fehler immer passieren und niemand ist Perfekt -ABER: Jeder Admin sollte sich auch seiner Verantwortung bewust sein.
|
|
BlackRider
|
25.10.2009 21:58
|
|
Sorry, aber auch aus meiner Sicht als mehrjähriger Webentwickler und künfitger Anwendungsentwickler (zur Zeit noch in der Ausbildung) ist das ganze mehr als nur GROB fahrlässig. Schon unter PHP4 hat man Passwörter als MD5 oder SHA1 Hash gespeichert. Die Sicherheit der Bentzerkennwörter geht vor. Viele Benutzer nutzen ihre Passwörter auch auf anderen Sachen wie E-Mail, Ebay, Amazon oder sogar Online Banking. Da die "Hacker" wohl auch die E-Mail Adressen haben kann es für manche Leute ziemlich bremslich werden. Und XXS und SQL Injektionen gibt es nun nicht erst seit heute sondern schon über lange Zeit. Jede Seite im Internet sollte dagegen geschützt sein. Also tut was dagegen und hofft, dass keiner rechtliche Schritte einleitet.
|
|
|
25.10.2009 22:01
|
Soo,
echt geile Aktion... schön gefreut in einer besseren Liga zu spielen als der Esl und dann sowas... Das war von euch so eine scheiß aktion, das ich die stammkneipe verlassen werde und ich denke viele werden leaven.. Wenn mans chon so eine große Liga führt, dann muss priorität auf Datenschutz vorliegen... UNVERANTWORTLICH
klasse aktion... ich dachte das ist ne gefakte mail...
auch der Spruch nobody ist perfekt passt nicht... so ein Fehler darf einfach nicht passieren!!!
Cya Stammkneipe
|
|
|
25.10.2009 22:02
|
|
wenn ihrgendwas passiert wird einer rechtliche Schritte einleiten... würde ich auch
|
|
(AvT)Hec2k6
|
25.10.2009 22:20
|
pro Stammkneipe =)
|
|
(KR)Wilson
|
25.10.2009 22:35
|
|
"der Bug hat sich im Laufe dieses Jahres eingeschlichen, wann genau kann ich nicht sagen..." - das ist echt hart... wie lange war die Lücke denn jetzt ca. offen? Eine Woche? Einen Monat? Ein halbes Jahr?
|
|
|
25.10.2009 22:35
|
|
dachte auch zuerst das sei ne gefälschte email... zum glück schon set jahren nich mehr online gewesen hier und auch sinnfreies passwort... naja... versagen auf ganzer linie vom admin und allen die hier sonst was mit zu tun haben... acc delete und tschüss -.-
|
|
(PornS)RealMadriD
|
25.10.2009 23:09
|
|
hehe das wird ein Spass, war zwar ewig nicht mehr hier gewesen aber ich komme in 3 mon. wieder um zu schauen ob es euch noch gibt.
|
|
|
25.10.2009 23:31
|
"das die passwörter unverschlüsselt gespeichert werden liegt vielleicht daran das ich nicht an Leute gedacht habe die hier das gleiche Pass verwenden wie in anderen wohl wichtigeren Systemen"
Wie bitte? Wie kommt man denn auf die Idee Passwörter nicht zu verschlüsseln?
Sollte ich wegen dieser Dummheit schaden nehmen, werde ich definitiv rechtliche Schritte einleiten. Übrigens fallen alle Admins, die Zugang zu der Datenbank hatten, auch sofort unter Verdacht wenn eine Klage kommt. Also viel Spaß.
Ich bin selbst Anwendungsentwickler und wenn man das Thema "Web Logins" irgendwann mal durchnimmt. Dann ist das erste was man lernt "Sicherheit" und "Verschlüsselung".
Der Spruch "Die Lücke war nicht lang auf..." ... ähm... und weiter? Die Leute haben ja schon die Email Adressen und Passwörter....
No Comment... mein Tip: Stammkneipe komplett für ein paar Monate offline nehmen, 1-2 fähige Entwickler dran setzen die Spaß dran haben zu Coden und diese Seite hier KOMPLETT zu erneuern.
|
|
(eFZ)Chiisu
|
25.10.2009 23:32
|
|
nun bleibt mal auf den Teppich leute!!!!wenn euch nen fehler unterläuft wird gesagt passiert und bei anderen wid nen Faß aufgemacht?! bleibt mal locker , und grade weils nur ein spiel ist!!!!
|
|
(mnl)derPascal
|
25.10.2009 23:33
|
Moin,
Es ist wirklich schlimm, dass so eine Lücke aufgekommen ist. Aber sie wurde geschlossen! und bleibt hoffentlich auch geschlossen.
Das hier das Passwort unverschlüsselt gespeichert wird weiß jeder, der sich sein Passwort per "Passwort-Service" zugesendet lassen hat und niemand hat sich scheinbar beschwert.
Aber auch von mir als zukünftiger Webseitenentwickler: KEINE UNVERSCHLÜSSELTEN PASSWÖRTER. Auch bei neuregistrierung nicht das Passwort zusenden. Über "Passwort-Service" sollte dann auch ein neues PW Generiert werden und an die Emailaddresse gesendet werden mit der Aufforderung es schnell wieder zu ändern.
Aber hört wegen so einer Panne nicht auf. Macht weiter...
Gruß
Pascal
|
|
(BoK)Voodoo(Admin)
|
25.10.2009 23:36
|
|
"Die Leute haben ja schon die Email Adressen und Passwörter...." welche Leute meinst du denn damit? Wir haben das hier gepostet nachdem wir die Lücke gefunden und geschlossen haben. Die News ist nur für den Fall! das irgendwelche Leute zufällig genau in der Zeit des vorhandenseins der Lücke diese entdeckt haben und das ausnutzen könnten!, es ist nicht so das bereits irgendwelche Schäden oder Missbräuche bekannt sind.
|
|
|
25.10.2009 23:40
|
ok sry ich habe da was überlesen bzw missverstanden. Wer lesen kann, ist klar im Vorteil =)
Aber mit "Lücke schließen" ist es dann auch nicht getan.
|
|
lyssar
|
25.10.2009 23:42
|
nebenbei:
was wollt ihr dann anklagen? das ihr ein PW auf 100 websiten nutzt? beabsichtigt war das in keinem falle... sowas kann man nicht ganz so einfach "anklagen" =)
|
|
(UniQ)Nash
|
25.10.2009 23:57
|
Das hier das Passwort unverschlüsselt gespeichert wird weiß jeder, der sich sein Passwort per "Passwort-Service" zugesendet lassen hat und niemand hat sich scheinbar beschwert.
Nur wenn man sein PW noch nicht vergessen hat und sich zuschicken ließ, heißt das noch lange nicht dass man diese Methode im stillen Einvernehmen akzeptiert.
Selbst wenn man anfangs noch in diesem Stil programmiert haben sollte, sollte man sich gerade bei dieser Masse von User-Daten der Verantwortung bewusst sein und sich dementsprechend weiterbilden. Damit meine ich keine AJAX Spielereien, sondern die reinen "web programming & security basics".
Eigentlich müsste man im Dienste der Sicherheit den Code Open Source machen, aber das birgt die Gefahr, dass die erst beste nächst-gefundene Sicherheitslücke auf dem aktiven System ausgenutzt werden kann.
Immerhin hattet ihr den Mut das in einer Rundmail zu melden...
|
|
DaRviN
|
25.10.2009 23:58
|
Schweinerei sowas.. Kein Wunder, dass beispielsweise die Esl eine wehsentlich besser besuchte Liga ist.
Schönes Eigentor ;) Bin mal gespannt, wie viele ihren Account löschen werden.
Ihr solltet echt lieber nen Coder, als nen Designer suchen.
|
|
|
26.10.2009 00:06
|
Passwörter bewusst ohne MD5-Hash o.ä. zu speichern ist meines erachtens mehr als nur grob fahrlässig, sollte es nur ein programmierfehler sein (vergessenes Semikolon), so ist es dennoch ein faux pas der einfach nicht passieren darf. Wäre soetwas einem Coder eines größeren Unternehmens unterlaufen, so bräuchte er am nächsten Tag gar nicht mehr zur Arbeit erscheinen.
Immerhin alle Nutzer per E-Mail informiert, so wurde einem noch größeren Fehler entgegengewirkt.
Kann mich dem Comment bezueglich des Redesigns aber nur anschließen ...
|
|
(Tcs)nevi
|
26.10.2009 00:11
|
Es ist passiert und nun muss man schaun, wie man das Beste daraus machen kann. Und da stammkneipe.de den Usern nicht egal ist, wurde diese Warnung veröffentlicht. Anscheinend ist das aber den meisten Usern egal. Viel lieber wäre denen gewesen, wir hätten nichts gesagt. stammkneipe.de sollte lieber wie in der Politik alle Peinlichkeiten unter den Teppich kären und hoffen, dass keiner drunter schaut.
Ich find es daher von Voodoo sehr lobenswert und mutig, dass er das bekannt gibt, dazu steht, den Fehler sofort beseitigt und sich entschuldigt hat.
Dass sich User deswegen deleten, find ich einerseits schade, andererseits total schwachsinnig. Was bringt denen das? Vor allem sind das User, die entweder keine Lust mehr auf die SK hatten und nur einen Tropfen brauchten um das Fass zum überlaufen zu bringen oder nichts mehr zu verlieren hatten und jetzt gerne Öl ins Feuer kippen wollen, weil sie es lustig finden.
Es muss sich jetzt nicht jeder angesprochen fühlen, der sich gelöscht hat oder sich deswegen löschen will, aber wer es aus diesem Grund macht, kann für mich gestohlen bleiben. Sowas hat in der SK nichts verloren!
|
|
(UniQ)Nash
|
26.10.2009 00:16
|
Lest mal für ein exemplarisches Beispiel:
http://openbook.galileocomputing.de/python/python_kapitel_15_004.htm
Absatz #4:
Würde eine solche Software die Anmeldeprozedur...
|
|
(UniQ)Nash
|
26.10.2009 00:28
|
...aber wer es aus diesem Grund macht, kann für mich gestohlen bleiben. Sowas hat in der SK nichts verloren!
Jetzt überleg mal bitte was davon das kleinere Übel ist.
Bevor jetzt jeder mit juristischem Halbwissen um sich wirft, würde ich gerne bitten davor dies zu lesen und daran zu belegen!
http://bundesrecht.juris.de/bdsg_1990/index.html
|
|
(Beach)Rucksocksepp
|
26.10.2009 00:49
|
|
Tja ich will die Admins ja nicht verdächtigen, aber sie haben E-Mail und PW auch ohne Hackerangriff, also wenn ihr mal eure Steam Accounts einfach so verliert. Wisst ihr vl. warum. Macht so schnell wie möglich ne Hashfunktion für die PWs rein, so wie ihr das Ding programmiert habt, macht man das seit 20 Jahren nicht mehr...
|
|
(tcx)rEEcon
|
26.10.2009 01:05
|
toll.. auf jeder erdenklichen seite.. mein pw geändert.. gute leistung!
zitat: (eFZ)Chiisu 25.10.2009 23:32
nun bleibt mal auf den Teppich leute!!!!wenn euch nen fehler unterläuft wird gesagt passiert und bei anderen wid nen Faß aufgemacht?! bleibt mal locker , und grade weils nur ein spiel ist!!!!
lol? weil es ein spiel ist? du bob? das geht um ganz andere sachen!
|
|
(Beach)F0ETZ
|
26.10.2009 02:38
|
Tja wenn man seine Page seit 1997 nicht aktualisiert kommt das dabei raus.
Und hierbei geht es um viel viel mehr. Denn mal ehrlich wer hat überall ein anderes Passwort? E-Mail, Online Banking, Steam, ESL, die eine und andere Website wer sich dabei alle Pws merken kann, meinen Respekt.
Nehmt die Page mal lieber 2 Monate down und updated mal richtig vernünftig.
|
|
(rE)Laker
|
26.10.2009 03:22
|
|
@(Tcs)nevi(Admin): nicht dein erst oder? Das er so "nett" war, uns das mitzuteilen, enthebt ihn doch nicht von seiner "Strafe"... wo leben wir denn
|
|
|
26.10.2009 06:02
|
toll gemacht-.-*
|
|
akiller
|
26.10.2009 07:56
|
|
Ja chillt ma, gut natürlich wird heutzutage verschlüsselt nur was soll er den jetzt bitte tuhen. Man kann davon ausgehen das genug Hacker die DB beistzen und man kann davon ausgehen das ihr wohl garnich wisst welche Hacker welche Daten von euch bisitzen. Mal abgesehen davon das die Lücke auszunutzen kein Geniestreich vonn mir war.
|
|
Ravejin
|
26.10.2009 08:05
|
|
seit 12 jahren aus wie scheiße aussehen und nichtmal in der lage sein pw s sicher zu verwalten... hurenladen
|
|
(nbn23)R3iT3R
|
26.10.2009 08:21
|
|
wie lange war die seite so?? wurde immer noch nicht beantwortet
|
|
lyssar
|
26.10.2009 08:21
|
naja md5 ist acuh nicht sicher da die chinesesn es geschafft haben md5 zu entschlüsseln ;) somit ist es möglich auch dann das PW zu bekommen, sha1 wäre als weitere möglichkeit da sowas zu verschlüsseln, nur leider ist sha1 ebenfalls berechnet worden und somit auch unsicher =) soviel dazu ;) kleiner tipp: nutzt halt nicht auf jeder seite das selbe PW :D ... das ist genauso grob fahrlässig wie das nciht codieren hier
also hf weiterhin
|
|
(LeL)Deathpoint
|
26.10.2009 08:32
|
so jungs, nu kommt ma wieder aufn Teppich wegen dem Passwort bla
"Rechtsschritte bl4bl4", simmer hier im Kindergarten? Ihr verhaltetet euch, als ob euer IQ gerade auf 70 gesunken/?gestiegen? ist... -_-
Fehler passieren, shit happens, zwingt euch ja auch keiner sich hier anzumelden und persönliche Daten einzugeben oder? Und wenn ihr so schlau seid nen "Masterpassword" für alles zu verwenden - na ja, sag ich dann mal gar nix zu ;)
Macht euch nen neues Passwort und gut ist - übrigens haben Hashes auch nen Nachteil gegenüber klarpasswörtern - erkennt man an der Bildung der Hashs ;)
|
|
billybear
|
26.10.2009 08:52
|
|
omg.. vielen dank. wegen euch kann ich mir jetzt einen neuen steamacc kaufen -.- mir wurde der acc gehackt. kein virus keylogger oder sonst was. jemand wusste mein pw und jetzt weiss ich auch von wo.. vielen dank.. omg ey das glaub ich iwie ned ..
|
|
lyssar
|
26.10.2009 09:03
|
|
@billybear: eigentlich sollte man dich nun schlagen für die dreiste dummheit das gleich pw zu nutzen :D -.- lächerlich
|
|
billybear
|
26.10.2009 09:14
|
|
das kommt von einem admin. lol. ich hab nicht überall das gleiche pw doch unter den gamesites kann es schon vorkommen. ich mein ich rechne auch nicht damit dass SK mein pw "freigibt". das ist lächerlich und dafür sollte man den verantwortlichen schlagen...
|
|
(eis)schrank
|
26.10.2009 09:37
|
|
Nunja - shit happens. Nicht schön, aber wer sich hierüber beschwert sollte aufhören zu googeln und vor allem auch nicht immer gleiche PW´s nutzen :)
|
|
billybear
|
26.10.2009 09:48
|
|
@schrank. hast du für jedes forum, email, icq, steam etc ein anderes passwort? ich glaube nicht.
|
|
|
26.10.2009 09:50
|
|
Och sicherlich gibt es leute die für alles ein anderes Passwort haben. Ich bin auch einer davon, ob du es glauben möchtest oder nicht...
|
|
lyssar
|
26.10.2009 09:52
|
|
ich habe auch nicht gesagt das das von voodoo ok ist was er gemacht hat... aber nunja les meine vorherigen posts dazu :).. und ja: ich benutze für jede Seite ein anderes PW ;) und beweise doch bitte mal das dein PW nicht gehackt wurde? wie lang war dein pw und welches muster hatte es?
|
|
billybear
|
26.10.2009 09:55
|
|
wie du oben lesen kannst bist du jedoch einer der wenigen, der für jede site ein anderes hat. aber ich mein es kann doc nicht sein, dass ich jetzt schuld bin, nur weil ich ein pw 2 mal brauche? ich mein, wer hat hier mein pw fahrlässig behandelt? pw war buchstaben plus zahlen.. also nix was man einfach so rausfindet.. warum sollte ich beweisen, dass mein pw nicht gehackt wurde? ihr solltet es eher beweisen..
|
|
(LeL)Grumpelfilzchen
|
26.10.2009 09:57
|
|
Wenn mann die User in der Nachricht dazu auffordert, sollte man eventuell auch an dieser Stelle noch einen Extra-Hinweis setzen, wie das geht. (Ich habe es gefunden, aber vielleicht geht das nicht jedem so, weil das Passwort-Ändern im Profil meines Erachtens auch nicht so toll gelöst ist.)
|
|
lyssar
|
26.10.2009 09:58
|
|
naja du beschuldigst die sk das dein acc deswegen weg ist, also solltest du beweisen können das es deswegen weg ist =)
|
|
(nbn23)R3iT3R
|
26.10.2009 10:06
|
|
junge, junge...hier werden private/geheime daten veröffentlich u. ihr sagt so was kann passieren?? schon mal was von datenschutz gehört?? unglaublich...in jeder firma wäre der mitarbeiter seinen job los..klar passieren fehler, aber bei solch einer sache darf!! dieser fehler nicht passieren;)
|
|
billybear
|
26.10.2009 10:06
|
|
ok, frage war komisch gestellt.. ja ist ja nett von euch, ich mein ich muss mir jetzt ja eh einen neuen kaufen. entschuldigung von euch ist ja nicht angebracht. assi und so. aber ja. esl ist halt doch einiges besser ich mein das ist nicht so ein amateurverein wie sk... würde dir iwie gmail schreiben dein pw wurde herausgegeben und du merkst, dass auf ebay iwer sachen für dich ersteigert würdest du dich auch aufregen und wenn dir gmail dann noch schreibt, du bist schuld weil ja niemand gleiche pw s benutzt und das ohne entschuldigung, dann fändest du das ja auch assi..
|
|
(LeL)Deathpoint
|
26.10.2009 10:18
|
boah, absolut geil, zumindest die Rechtschreibung!
@Grumpl,
joah, wäre schon nicht schlecht, wenn man das noch in die Mail schreibt, aber darüber hat sich bisher NIEMAND beschwert, denke daher mal, dass es jeder gefunden hat? :D Oder alle haben studiert und finden es von selbst^^"
|
|
(Five)AromA
|
26.10.2009 10:23
|
ich habe auf jeder seite eigentlich ein anderes passwort, da man nie weiß ob eine seite gehacked wird oder nicht. ich finde es auch nicht gut was passiert ist, aber durch ein wenig eigenverantwortung an sich selber würde kein weiterer schaden daraus entstehen.
wer zb sein pw von webseites bei steam benutzt, handelt in meinen augen grob fahrlässig und alle die schreien "kann doch nicht für jede seite nen anderes pw haben" es gibt in der heutigen zeit auch passwort tanks... siehe hier - http://www.chip.de/downloads/KeePass-2_37165084.html
|
|
(LeL)Deathpoint
|
26.10.2009 10:27
|
@AromA
du sprichst mir aus dem Herzen, Datenschutz hin oder her, Hirn aus machen darf auch nicht sein meine werten User und Userinnen, die hier rumschreien :D
|
|
(UniQ)Alessa
|
26.10.2009 10:54
|
Ich weiss nicht genau was ich dümmer finden soll, dass die pw unverschlüsselt hier gespeichert werden oder dass die Leute einfach nur zu faul/blöd sind sich einfach mal verschiedene pw zu setzen.. man sollte ja meinen dass gerade Gamer in Sachen Sicherheit im Internet mehr aufgeklärt sein sollen als Frau Schmidt die ab und an mal sich was im Internet bestellt...
Und Nein, man kann diesen "unfall" nicht herunterspielen.. schließlich Vertrauen die Spieler hier euch und ihr habt hier eine große Verantwortung. Die AWD kann nun auch nicht sagen "tut uns leid dass ihre Daten nun im Umlauf sind.. nun hat zwar irgendein Krimineller eine Ahnung davon wie viel Millionen sie horten.. aber ne, shit happens"
|
|
(sIN)flash
|
26.10.2009 11:03
|
Finds gut das du mut hattest eine Rundmail zu schreiben, dennoch finde ich es fast peinlich das die Verantwortung den Usern übertragen wird.
Klar sollte man für alles ein anderes Passwort verwenden. Nur gerade bei Internet aktiven Leuten ist es fast unmöglich sich ca. für 30 verschiedene Sachen ein anderes Passwort zu merken. Klar es gibt auch Tools etc. aber es wird dir jeder IT-ler sagen dass das speichern von unerschlüsselten Passwörtern einfach grob fahrlässig ist. Und das ist fakt.
Es ist wirklich nicht schwer eien hash wert zu generieren und den Feldtyp umzustellen und vorallem das in diesem Zeitalter...
Ob die Sicherheitslücke schlimm war oder nicht ist mir egal aber passwörter in klartext zu speichern, fass ich mir einfach nur noch an den kopf
|
|
(MyDL)Flixer
|
26.10.2009 11:23
|
|
Daumen hoch, da fällt mir nix zu ein!
|
|
(Five)AromA
|
26.10.2009 11:33
|
|
@flash ..warum sollte man sich die PW´s nicht merken können ? die meistens hier kenne ja auch zig bezeichnungen für die ganzen maps und das sind garantiert mehr ;)
|
|
(sIN)flash
|
26.10.2009 12:01
|
|
@aroma weil evtl passwörter nicht aus sinnvollen Zeichenfolgen bestehen die ein Wort bilden, sondern aus willkürlichen alphanummerischen Zeichen und Sonderzeichen
|
|
ninrai
|
26.10.2009 12:39
|
|
omg wie low -.-
|
|
(Beach)F0ETZ
|
26.10.2009 12:47
|
@ cefuroX
Was du fürn Blödsinn schreibst ist unglaublich, erstens mal kann MD5 und auch SHA1 nicht entschlüsselt werden. Es ist eine Hashfunktion, keine Cryptfunktion.
Also kannst du das PW wenn du den MD5 oder SHA1 Hash hast nur durch Bruteforce rauskriegen. Die Sicherheitslücke die du angesprochen hast, bezeiths ich auf den Fall das 2 Unterschiedliche Dateien/Text den gleichen Hash herausgeben, was aber bei den Längen die da verwendet werden absolut keine Rolle spielen!
Und außerdem, gibts auch so Methoden wie Salted Hashes. Aber davon hat diese Seite und deren Admins leider keine Ahnung. Hauptsache blöd um den heißen Brei rumreden.
|
|
(Tec)dlite
|
26.10.2009 12:47
|
|
Wenn man sich anschaut was ihr da alles schreibt. und jeder 3. post damit anfängt cya stammkneipe dann muss man echt sage, seid ihr bescheuert? es gibt unzählige seiten die so unsicher sind, dass stammkneipe nichtma schuld haben muss, wenn einzelne accounts gehackt werden. darunter waren sicher mal stammkneipe adminaccs dabei seid euch sicher: euere pws sind nirgends sicher ausser in eurem kopf hatte esl nit auchma ne lücke womit man die page off stellen konnte? die war sicher mehr als 2 wochen da
|
|
(Tec)dlite
|
26.10.2009 12:50
|
|
@foetz wer keine ahnugn hat einfach mal fresse halten. Die asiaten haben es geschafft einen md5hash innerhalb von 30 minuten zu entschlüsseln.es stand groß in news netzwerken. man darf eben nur nicht in dem öffentlichen bereiech hinkucken sondern muss etwas mit der matere betraut sein
|
|
(tt17)AntiL9pe
|
26.10.2009 12:50
|
|
echt das allerletze!
|
|
(Tec)dlite
|
26.10.2009 12:53
|
|
naja, ich benutz so oder so schon überall andre pws so gut es geht. selbst wenn eure pws gehasht sind, so wird ein großteil per milw0rm immernoch nachgeschaut
|
|
(sIN)flash
|
26.10.2009 13:07
|
@dlite kannst du zufällig mal die Quelle posten, würd mich mal gern interessieren. Kann ja auch sein das die den Hashwert einfach durch nen Supercomputer gejagt haben etc.
btw. bei ESL oder anderen Communityseiten redet man von ner lücke, aber hier könnte man von nem offenem Tor reden...
|
|
(LeL)Fraggi
|
26.10.2009 13:13
|
|
Also ehrlich, ihr reagiert alle total überzogen! Jeden Tag werden in irgendwelchen Systemen Sicherheitslücken gefunden, keine Software ist bugfrei. Früher war es halt üblich die PW im Klartext zu speichern und Stammkneipe gibt es halt auch schon paar Jährchen, klar man hätte irgendwann mal einen Schnitt machen müssen. Und noch einmal für die ganzen Leute die sich hier aufregen, es ist nicht einmal bekannt ob die Lücke ausgenutzt und Passwörter einzelner User nach außen gelangt sind. Eure Clansysteme die ihr einsetzt wie z.b. Webspell hatten auch schon ähnliche Lücken, da schreit auch keiner so rum, aber mit der News und der Kommentarfunktion habt ihr scheinbar eine Plattform gefunden euch sinnlos die Winterdepressionen von der Seele zu schreiben. Schade, solltet euren Elan mal lieber für die Terminfindung verwenden ;)
|
|
(RiD)Piehti
|
26.10.2009 13:21
|
Hallo!
Ich hab da grad so ein unangenehmes Dejavue von anderen großen Community-Seiten.
Da lief es so:
Userdaten wurden VERKAUFT.
Eine Sicherheitslücke wurde BEWUSST geöffnet.
Sicherheitslücken wurden verschlossen und die Nutzer "gewarnt".
Ich hoffe einfach mal, dass das hier nicht auch der Fall war. Finde es auch albern, dass noch immer kein Wort in Richtung Sorry gefallen ist.
|
|
(nbn23)R3iT3R
|
26.10.2009 13:21
|
|
ähmm..hier wurde immer noch nicht geschrieben, wie lange man die daten sehen konnte
|
|
(sa)0nAir
|
26.10.2009 13:28
|
Also sowas sollte einer größeren deutschen e-sportliga nun wirklich nicht passieren..
Sehr peinlich und unangenehm
|
|
|
26.10.2009 13:35
|
|
fickt euch! idioten! man man man! gibts doch wohl gar nicht! sehr sehr übel!
|
|
(Beach)F0ETZ
|
26.10.2009 13:48
|
@dlite
Man kann MD5 nicht entschlüsseln. MD5 ist eine Einweg-Hashfunktion, du kannst sie nicht umkehren. So Brute Force und Kollisionen suchen, ist NICHT entschlüsseln. Einen Hash entschlüsselt man nicht.
|
|
(3d)haze
|
26.10.2009 13:51
|
Genial.. Ein Admin sagt Lücke war kurz auf.. und der "Besitzer" meint.. jo kA wie lange die offen war..
wie lächerlich ist das bitte
|
|
(LeL)Grumpelfilzchen
|
26.10.2009 14:13
|
|
ein wahres Wort Fraggi ;)
|
|
lyssar
|
26.10.2009 14:28
|
so @FOETZ
du helden tenor, MD5 und SHA1 haben einen Algorythmus den sie befolgen, wenn man den knackt ist es sehr wohl möglich die Passwörter in kürzester Zeit zu bekommen SHA1 wurde 2005 zum ersten mal berechnet und heir mal ne aktuellere news dazu:
http://www.heise.de/newsticker/meldung/Attacken-auf-SHA-1-weiter-vereinfacht-180587.html
|
|
(sIN)flash
|
26.10.2009 14:31
|
Finde manchen verwechseln irgendwie bestimmte sachen.
Es ist ein totaler unterschied ob jemand professionell kleinste Sicherheitslücken ausnutzt um mit einem Crawler bereits öffentliche angaben sammelt. Selbst wenn jemand dein Account durch Sicherheitslücken "hacken" kann ist dies auch was ganz anderes als wenn jemand dein Passwort in Klarschrift lesen kann/könnte.
Das eine ist grob fahrlässig, das andere ist ein Wettbewerb zwischen Administratoren/Sicherheitsteam und Hackern/Crackern.
|
|
lyssar
|
26.10.2009 14:32
|
klar garnicht verschlüsseln = dumm
aber nur verschlüsseln = genauso dumm
=) man muss vorher ansetzen nicht erst in der DB
|
|
(LeL)Deathpoint
|
26.10.2009 14:37
|
Fraggi hat vollkommen recht, jetzt rumheulen bringt null Punkte!
Wir sollten uns jetzt wieder auf den normalen Ligabetrieb stürzen und uns darauf konzentrieren :)
|
|
lyssar
|
26.10.2009 14:43
|
|
wenn jmd. ernsthaft an diese passwörter kommen will schafft er das durch gezieltes forcen auch ;-) mann muss dort anders angesetzt werden
|
|
|
26.10.2009 15:01
|
Wieso werde ich immer noch als Admin geführt? Bin ich doch schon ewih nicht mehr. Aber soviel zum Thema script, codierung und Datenpflege.
MfG
Snip
|
|
Starmone
|
26.10.2009 15:13
|
|
#ouch
|
|
(Tcs)nevi
|
26.10.2009 15:19
|
@billybear:
Dein Steamaccount wurde gehackt? Und das garantiert wegen der SK? Also wenn solche Anschuldigungen kommen, dann muss das auch mal bewiesen werden.
Es kann durchaus mal vor kommen, dass man Opfer einer Bruteforce-Attacke war. Das war ich nämlich mal selber. Auch mit dem sinnlosestem Passwort, bestehend aus 10 Zeichen, wurde das Passwort per Bruteforce herausgefunden.
Aber ich kann dir sagen, was man dagegen macht: Man meldet sich beim Steamsupport und holt sich seinen Account zurück. Und je schneller du dich bei denen meldest, desto wahrscheinlicher ist es auch, dass du den auch wieder zurückbekommst.
|
|
(mymf)Normatel
|
26.10.2009 15:30
|
Fehler passieren, so ein Fehler sollte aber dennoch nicht passieren.
Ich hoffe für die SK nur das mit der neuen Seite auch der Code erneuert wird und solche Fehler der Vergangenheit angehören. Hoffentlich werden keine rechtlichen Schritte eingeleitet, ich wünsche viel Glück und Erfolg beim neuen Projekt.
Normatel
|
|
(Beach)F0ETZ
|
26.10.2009 15:57
|
@ cefuroX
Sinnloser Link, da wird nur nach Kollisionen gesucht. Trotzdem kannst du dadurch nicht einfach einen SHA1 Hash entschlüsseln. Würde das gehen wären unsere Probleme hinsichtliche Speicher gelöst, wenn man einfach jedwede Art von Daten in einen kurzen SHA1 Hash packt. Und am Ende dann so 100 MB Daten rauskommen.
Bitte denk mal nach bevor du etwas sinnloses postest. Mir geht es darum das ihr MD5 oder SHA1 einsetzt. Mit Salted Hashes bringen sich auch Rainbow Tables nichts mehr. Und Kollisionen erst recht nicht. Einfach MD5 und SHA1 einsetzen, weil Klartext, sorry aber das ist unverantwortlich.
|
|
lyssar
|
26.10.2009 16:17
|
|
ehm foetz jetzt nochmal: ICH HABE NIE BEHAUPTET DAS DIE UNVERSCHLÜSSELTEN PWs OK SIND und nu ruhe bitte ... fehler wird behoben und JA es war/ist mist, weiss cih als anwendungsentwickler selber (nein bis jetzt code ich hier nichts)
|
|
SeriousRay
|
26.10.2009 16:19
|
Moin,
Formulier vielleicht nochmal ne Rundmail Voodoo in der du klar machst, dass niemand Fremdes diese PWs ausgelesen hat und bis jetzt alles rund lief. Die Lücke wurde lediglich entdeckt mit Hilfe des genannten Users. Es war also kein böser Hacker im Spiel. Ich hatte auch schnell über die Mail gelesen und dachte mir: Na, toll und noch eine Seite gehackt und gedumpt, aber beim lesen der Kommentare habe ich dann bemerkt, dass nur eine Lücke entdeckt wurde. Die Mail war also zweideutig formuliert und deswegen (außer dem Plain-PW Problem)schätze ich sind die User aufgebracht.
Greetz,
Ray
|
|
(LeL)Fraggi
|
26.10.2009 16:21
|
|
Und die Newsüberschrift ist auch etwas unvorteilhaft gewählt "Passwörter geknackt" passt ja nun gar nicht.. bessere wäre so etwas wie "Sicherheitslücke entdeckt und geschlossen"
|
|
akiller
|
26.10.2009 16:35
|
JOHNNY kannst du mal Fakten oder sonst irgendwas konstruktives bei bringen?
Wie gesagt die DB wird schon im Umlauf sein, aber nen Hacker mit Verstand und dem Entsprechden Equipment kann auch DB s mit MD5 Hashes effektiv decrypten und seinen Checker drüberlaufen lassen. Also einfach nich bei Steam WoW Paypal etc das gleiche PW nehmen fertig. Achso und kleiner Tipp: ne "1"/"a" oder so ans PW hängen und schon greifen diese Checker nicht mehr !
Schönen Tag noch euer lieblings WhiteHat
|
|
(SLVRS)ToXiC
|
26.10.2009 16:46
|
|
unser akiller47 :p^^
|
|
(TRW)Neonpipe
|
26.10.2009 16:49
|
█▀▀ █▀█ █ █▀▀ █▀▀ █▀█ █ █
█▀▀ █▀▀ █ █ █▀▀ █▀█ █ █
▀▀▀ ▀ ▀ ▀▀▀ ▀ ▀ ▀ ▀ ▀▀▀
|
|
(TRW)Neonpipe
|
26.10.2009 16:49
|
|
Verdammt! EPIC FAIL!
|
|
(Gg)Nick
|
26.10.2009 17:03
|
So man beruhigt euch doch mal 1. Ist das natürlich was was eigentlich nicht passieren darf ! 2.Muss man die auch Loben , weil sie es wenigstens zugegeben haben. 3.Denkt nicht alle das die ESL solche fehelr noch nie gemacht haben .
4. Bin ich mir überhaupt nicht sicher ob die ESL sowas überhaupt zugeben würde also sollte hier auf keinen fall jmd behaupten das sowas in der ESL bestimmt nicht passiert , das ist ein dummer gedanke ich bin mir sicher das auch sowas in der ESL vorkommt eventuell ohne das ihr es zu wissen bekommt !!!!
MfG Nick
|
|
akiller
|
26.10.2009 17:05
|
Hey Nick was denn hier los? Du hast mal was richtiges gesagt ich glaube da bist du der erste meinen Glückwunsch !
Mit Punkt 4 geb ich dir völlig recht THX
|
|
(p3G)myblade
|
26.10.2009 17:29
|
@ cefurox: bitte besser den Rand halten. Egal, wieviele User hier meckern, sie sind im Recht. Du brauchst die Schuld nicht von euch auf die User schieben, versuchen oder sie zu mindern. Zwischen Hacken und Ablesen gibt es einen klaren Unterschied. Fakt ist: Ihr kamt eurer Pflicht zum Datenschutz nicht nach, denn so hättet ihr die Daten auch in eine Textdatei schreiben können.
Und danach zu schreien, dass wir belegen sollen, dass einem von uns nicht so ein Passwort entwendet wurde, ist Quatsch. Ich weiß ja nun, wies ich zig fehlgeschlagene Loginversuche auf meiner Mailadresse hatte. Und diese News und die dazugehörige Mail ist ein Schuldbekenntnis.
Dass informiert wurde, ist ja nun das Mindeste! Datenbank bitte überarbeiten. Einen vernünftigen Login mit Datensicherheit zu erzeugen, dauert keine Stunde. Kleiner Tipp: Vor Erzeugung eines Hashwertes und vor der Verschlüsselung z.B. noch eine Zeichenkette von euch dazuhängen. Und wenn man den String auch noch dynamisch gestaltet, z.B. Definition nach Kalenderjahre bei Accounterstellung und damit jährlich wechselnd, wird es viel schwerer, dann daraus das gültige Passwort zu rekonstruieren, weil viel zu viele Faktoren dazukommen würden. Und die Arbeit und Recherche macht sich kein SK-Hacker...
|
|
lyssar
|
26.10.2009 17:52
|
|
@ myblade: =) ich habe keine ausreden gesucht aber egal... ;) einbildung ist auch ne bildung... da ich zu keiner zeit versucht habe voodoo oder irgendwen in schutz zunehmen, wenn du vlt. alles von mir gelesen hast (was ich aber stark bezweifle): ich bin webentwickler und weiss sehr wohl über das problem datensicherung bescheit... bin aber nunmal hier kein coder =)
|
|
ZEAH
|
26.10.2009 18:01
|
|
Wayne, ihr könnt die SK eh nicht verklagen ;) DH wenn ihr sauer sein wollt, dann nur auf euch! Wie kann man so blauäugig sein und sein PW für wichtige Dinge mehrmals verwenden? Die haben sich nich strafbar gemacht.
|
|
|
26.10.2009 18:42
|
LOL,
@ZEAH bevor du solche Worte von dir gibst mahce dich erst einmal schlau.
Aber für dich ganz persönlich:
http://www.datenschutz-aktuell.de/shop/s344337.htm?gclid=CKPRxfqg250CFZJ_3godDhh_qw
oder
http://de.wikipedia.org/wiki/Bundesdatenschutzgesetz
Von soviel Dummheit bin ich selbst platt aber wayne PISA Studie sag ich nur.
MfG
Snip
|
|
(unL)Thorben
|
26.10.2009 18:48
|
|
Keine Ahnung was bei euch abgeht, aber ich wär froh wenn die mehrzahl der User einfach nur flamen würde. Aber statt dessen werden diese auch noch belächelt.
|
|
ZEAH
|
26.10.2009 18:52
|
Deine Intelligenz lässt sich an einem Finger abzählen. Lies dir den Wikipedia Link mal durch... da sollte dir was auffallen. Aber hey, wer schon so einen Umgangston hat, der ist halt etwas langsamer. Und ihr seid in der Beweislast, nicht die SK... aber das ignorieren wir mal lieber :)
Und was hat die PISA studie damit zu tun??... -- du bist ein Hurensohn (!) danke
|
|
(unL)Thorben
|
26.10.2009 18:57
|
wie der ZEAH cheated ahaha
http://www.consoles.net/player/1803979/
|
|
|
26.10.2009 19:18
|
Da kannst du mal sehen wie es um dein IQ steht
Und wenn man keine Ahnung und Argumente hat einfach mal beleidigen.
MfG
Snip
|
|
lyssar
|
26.10.2009 19:51
|
|
Snip jetzt sag mir doch mal bitte wo gegen die SK verstoßen hat? Sie hat weder bewusst Daten preis gegeben noch damit gehandelt, alles was mit den Daten geschehen ist ist das sie nur auf eurer Profilseite angezigt wird... also alles rechtens
|
|
(uTg)Dexx
|
26.10.2009 20:00
|
Jetzt mal ohne spaß, die passwörter nicht zu verschlüsseln, geht mal gar nicht.
Dazu kommt noch, wärs MD5 ist es prinzipiell genau so leicht es per GPU zu cracken was teilweise ~10sek dauert das passwort zu knacken, das sinnvollste wäre ne Verschlüsselung+Salt, aber gar keine das ist einfach traurig und peinlich und ich weiß wovon ich rede.
|
|
(UniQ)Nash
|
26.10.2009 20:15
|
@F0ETZ: Muss dir hier bei deiner Diskussion mit Cefurox klar Recht geben.
Um es für alle anderen Mitlesenden etwas verständlicher zu machen, gibts hier erstmal ein Beispiel:
Angenommen, man hätte das Passwort "Sicherheitslücke!"
Durch MD5 Hashing wird daraus eine kryptische Zeichenfolge generiert, die aber bei dem selben Eingabepasswort auch immer das selbe wieder ausgibt.
Also verwursten wir mal exemplarisch unser Beispiel-PW..
"Sicherheitslücke!" ==MD5== xk390nfd87mA8m
Genausogut kann aber auch ein anderes beliebiges Passwort wie z.B. "Wurstgesicht", den selben MD5-Hash erzeugen.
"Wurstgesicht" ==MD5== xk390nfd87mA8m
Und davon gibt es beliebig viele Passwörter mit selbem Hash, die nur immer länger und komplizierter werden. Also kann eine böswillige Person mit einem Hash mit Zeit und Aufwand sich ein Passwort generieren lassen, dass genau wieder diesen Hash herausgeben würde.
Und jetzt kommen wir zum Unterschied, weshalb das hier so grob fahrlässig ist:
In diesem Fall hier, kann jemand der die DB auslesen konnte, nicht nur ein Hash-gleiches PW generieren, der hat sogar das Original-Passwort!!
Und damit kann er fröhlich frei mit der zugehörigen eMail-Adresse die typischen Logins (StudiVZ, Steam, ESL,...) durchtesten und wird mit hoher Wahrscheinlichkeit auch damit Erfolg haben. Denn mit seinem generierten Alternativ-Passwort muss er nicht zwingend Erfolg haben, weil oft auch unterschiedliche Hashing-Verfahren je nach Seite verwendet werden.
Und da finde ich die Art die ganze Sache als Kleinigkeit herunterzuspielen und im selben Zuge die User als dumm abzustempeln, wenn man auf mehreren Plattformen das selbe Passwort verwendet, arg bösartig dreist.
Ihr habt hier 120.000 Accounts von Leuten, die euch mit der Registrierung das Vertrauen ausgesprochen haben. Dieses Vertrauensverhältnis ist für viele Leute mit so einem Fall gebrochen, und da macht eine üble Nachrede von den SK-Admins das ganze echt nicht besser.
Software ist nie perfekt und Lücken wirds immer mal geben. Aber zwischen Lücken und Datenschutz-technischen SuperGAUs wie diesem hier, liegen einfach Welten!
|
|
lyssar
|
26.10.2009 20:29
|
|
@Nash ICH HABE NIE GESAGT DAS DAS VON VOODOO LEICHT ZU NEHMEN IST ich sage lediglich das nur das hashen nicht alles sein kann ... -.- omg
|
|
(uTg)Dexx
|
26.10.2009 20:41
|
naja @ (xQz)cefuroX(Admin)
Das hashen mit salt würde normalerweise keine rolle spielen wenn jemand an die datenbank kommt, die passwörter zu cracken mit salt dafür wäre der aufwand viel zu groß. Es würde sich höchstens beim Admin lohnen wozu auch immer aber normale user wären damit zu 99,99% sicher gewesen und glaub mir ich weiß echt wovon ich rede, ich sorge auf viele großen seiten für sicherheit und kann das so beurteilen.
|
|
lyssar
|
26.10.2009 20:48
|
|
bezweifle ich auch garnicht, oben war die rede ohne salt, und das reicht nunmal nicht x) ... aber egal was man macht Fakt ist das was geändert wird und da nehme ich keinen in schutz (wegen sowas hätte man mich in meiner firma gefeuert o.O)
|
|
(uTg)Dexx
|
26.10.2009 20:50
|
|
Natürlich, ohne salt ist nutzlos so gut wie, außer das passwort ist über ca. 18zeichen lang in etwa. Mir würde das genau so gehen cefuroX O_O.
|
|
ZEAH
|
26.10.2009 21:15
|
|
Snip, du weißt dass ich recht habe und cefurox hat mir da auch recht gegeben und wer von uns beiden beleidigt steht wohl außer frage, und wenn ihr bei meiner sperre auch mal genau hinsehen würdet, würde euch sogar auch da was auffallen :)
|
|
|
26.10.2009 22:24
|
Wenn ihr es Richtig lesen würdet kam das Thema Datneschutz auf.
Lest bitte erst einmal das Datenschutzgesetz bevor ihr irgendetwas mit diesem Thema schreibt.
Die SK ist verantwortlich das diese Daten nicht weitergegeben werden und diese so zu schützen das die nicht passieren kann.
Aber was ist passiert?
Brauchen wir nicht drüber reden Lies einfach die E-Mail ode die News hier.
@ZEAH
man merkt das du noch nicht einmal das verstehst was du schreibst. Thema Beleidigungen lies einfach mal dein Kommentar, dass mit der Mutter usw.
MfG
Snip
|
|
(Gg)Nick
|
26.10.2009 23:02
|
Also ich würd mal dazu sagen das es deren sache ist ob sie damit Geld verdienen (was is da so schlimm dran Geld zu verdienen also sogut wie jeder würde gern mit i-was Geld machen und wenn es wie hier nebenbei ist las sie doch) und die *tolle* Liga die du meinst ich würd gern mal wissen ob sie nicht doch mal Werbung machen wenn die Liga so bekannt wie die SK ist ??
MfG Nick
|
|
|
26.10.2009 23:12
|
Was ich damit meine ist eher wenn ich doch Geld damit mache warum wird dann nicht mal ein Vernüftiges design und script erstellt????
Dann passieren auch nicht solche fehler.
MfG
Snip
|
|
|
26.10.2009 23:20
|
Hallo,
irgendwie ist hier ein Fehler im scrpit!!!!
Hier werden immer Komentare gelöscht.
Aber no Problem
|
|
|
26.10.2009 23:21
|
Hallo Zusammen,
also ich habe mir das ganze hier jetzt mal komplett durchgelesen und muss dabei jedem Recht geben.
Ja es ist dumm gelaufen das, die Passwörter unverschlüsselt gespeichert werden.
Ja es ist dumm, dass es user gibt die ein Passwort für mehrere Daten/Homepages ect. verwenden.
Aber natürlich auch:
Es ist dumm sich für nur ein oder zwei PW´s zu entscheiden.
Jetzt kommt das Thema Datenschutz hier auf und da sage ich ganz klar hier ist etwas schief gelaufen was dem einen oder anderen eventuell weh tun könnte oder vielleicht auch wird, wollen dies mal nicht hoffen.
Einige von Euch schreiben hier, dass die Page mal für einige Zeit abgeschaltet werden soll, um die Page, Sicherheitslücken und codecs überarbeitet werden sollen.
Da gehe ich vollkommen überein.
Aber jetzt mal was ganz anderes:
Was würdet ihr sagen wenn diese E-Mail mit der Information, vielleicht eine Eigenwerbung war?!?!?!
Denn es gibt eine neue Page mit einem Mainsponsor!!!!! Einige schreiben es ja nehmt die Page down usw.
Was wird denn jetzt passieren?
Die Page wird nach der laufenden Saison (Vielleicht auch früher) down gehen und dann kommt eine neue Page und ein Anticheatool Xray.
Und wer sich ein wenig mit der Stammkneipe beschäfftigt und aus kennt hat bestimmt bemerkt dass, alle alten eingesessen Admins die SK verlassen haben und eine eigene Liga auf die Beine gestellt haben.
Ohne Werbung zu betreiben sage ich nur GL
Jedoch ist die neue Page der SK nur mit einem anderen Design versehen.
Was ich aber nicht verstehe ist das der Betreiber der Stammkneipe mit der Seite (Aktuelle sowie der neuen) Geld verdient. Es wird Geld mit dem Betreiben einer Esportsliga eingespielt und dann wird ein so altes desing und scrippt verwendet, was schon seit Ewigkeiten veraltet ist. Bei etwas mehr als 120.000 user kann ich mir schon vorstellen das da ein wenig zusammen kommt. Nur wurden diese Gelder bisher nie für die SK genutzt.
UNVERANTWORTLICH
Oder es ist eine Eigenwerbung um das image der SK zu erweitern erst Fehler gemacht, dann innerhalb kürzester Zeit ein neues Projekt (Was schon Ewig in Arbeit ist).
Auch wenn ich jetzt ein Dorn im Auge der SK sein werde aber es ist halt so.
Mit freundlichen Grüßen
Snip
|
|
(Gg)Nick
|
26.10.2009 23:24
|
Ich gehe mal Stark davon aus das deine Kommentare absichtlich gelöschtwerde und mich wundert es nicht 1. Du bist der einzige der hier noch schreibt (neben mir) 2.Schreibst du andauern wie scheiße hier alles sein soll .
So wenn du das hier alles scheiße findest dann geh doch einfach nicht mehr auf die seite oder such direkt konntakt zu den verantwortlichen und net hier ewig in den Kommentaren !
MfG Nick
|
|
(UniQ)Nash
|
26.10.2009 23:28
|
@(xQz)cefuroX(Admin):
Natürlich ist Hashing nicht das Welt-Allheilmittel. Aber du wirst mir auch sicher Recht geben, dass es einen Unterschied ausmacht, ob man nur mit einer oder gleich mit zwei Händen auf der Autobahn-fahrend in der Nase bohrt.
Hoffe ihr nehmt diese unangenehmen Vorfall ernst und nehmt es als Anlass die wichtigsten Sicherheitsvorkehrungen zu treffen, damit sowas möglichst nicht wieder passiert. Habe nur bei vielen Leuten das Gefühl, dass versucht wird diese Geschichte herunterzuspielen, als bräuchte man sich nicht darüber aufregen. Und das darf einfach nicht sein.
Grüße Nash
|
|
|
26.10.2009 23:41
|
OK,
vielleicht habe ich es zu hoch für den ein oder anderen geschrieben.
@Nash hat es verstanden
Es geht darum das Geld verdient wird mit den Clicks jeden user. Warum wir dann nicht mal ein Proffessionieller coder eingesetzt, sicherlich kostet diese Dienstleistung Geld.
Da die SK aber keine Coder findet Siehe freie Adminposten,
muss ma ebend Geld investieren und nicht Hobbycodierung (scripten) betreiben.
MfG
Snip
|
|
|
26.10.2009 23:44
|
Das gibt rechtliche Schritte, ich werde mal meinen Anwalt bitten, mit euch in Kontakt zu treten, da meine Emailpasswörter erst nach 12 h wechseln.
Bin damit weg von der SK und hoffe ihr schaltet demnächst mal den Grips ein und seht nich nur das Geld pro Klick!
|
|
Steel
|
26.10.2009 23:54
|
@Snip. Fantasie ist keine Grenzen gesetzt. Aber vielleicht mal ein paar Infos von mir zu dem Thema: Die ältesten Admins sind alle noch in der sk. GL hat nichts mit der stammkneipe zu tun. Und nur von angemeldeten User, wird auch noch kein Webserver, in diesem Maße mit der Datenmenge, bezahlt. Es ist auch nicht angedacht Geld von den Usern zu nehmen. Wir möchten kostenlos bleiben.
Es ist auch richtig das wir momentan Geld in ein Testsystem und Updates der sk Page investieren. Jedoch dazu wir es bald mehr geben. Wir nehmen diesen Vorfall aber sehr ernst und arbeiten mit Hochdruck an Besserungen.
Zum Thema XRay: Die sk ist da schon sehr viel länger in Gesprächen mit den Entwicklern. Und es wird auch einen Beta Test dazu geben. News folgt noch diese Woche ;)
Leider können wir auch das Passierte nicht schöner oder ungeschehen machen. Es ist auch nicht im Intresse der sk solche News zu schreiben, aber es ist geschehen und man kann es nicht ungeschehen machen. Demnach können wir den Ärger der Leute verstehen, aber zum ändern ist es zu spät.
|
|
|
27.10.2009 00:06
|
Und wieder ich ;),
@Steel ich habe nie gesagt das Geld von den usern genommen wird. Jedoch verstehe ich es nicht dass, es bisher schöner geredet wurde als es ist.
Du weisst es am besten, denn die hast das ganze insieder wissen.
ich hoffe nur das es auch ernst genommen wird und nicht in unabsehbarer (Absehbarer) Zeit erneut passiert.
MfG
Snip
|
|
|
27.10.2009 00:59
|
au geil jetzt werden kommentare auch schon verändert ^^
|
|
(TheB)MissN
|
27.10.2009 09:31
|
@ Snip: Hattest du nicht geschrieben du willst hier weg? Ok, dann tu dir und uns einen Gefallen und hör auf rumzuspammen.
Das ganze geheule hier: Mein Anwalt wird sich bei euch melden... Ist doch alles nur heisse Luft und dummes gelaber. Wems hier nicht passt, soll gehen, wer darauf vertraut das es alles wieder iO gebracht wird bleibt. Fehler passieren, shit happenz. Aber dieses dumme rumgeheule hier ändert nichts an der aktuellen Situation und verbessert diese auch nicht.
Wer so blöde ist und seine wichtigsten Passwörter auch für seine Gaming Communities benutzt ist in meinen Augen selber schuld. Schonmal daran gedacht, dass man für seine Daten auch selbst verantwortlich ist? Aber das vergessen leider die meisten.
|
|
(BoK)Voodoo(Admin)
|
27.10.2009 10:45
|
sorry, normalerweise gibs hier keine Zensur, aber bei Snip platzt mir echt gleich der Kragen, einerseits ist es manchmal ganz amüsant was der sich da zusammenreimt, andererseits besteht natürlich die Gefahr das das jemand glauben könnte...
und am besten finde ich noch "au geil jetzt werden kommentare auch schon verändert ", wir sitzen hier die ganzen zeit rum und sobald einer was gepostet hat spielen wir wortschieben...
|
|
(MaPb)Refresh
|
27.10.2009 10:50
|
Hier sind eh nur die ganzen coolen Leute die alle mehr Ahnung haben von Websecurity.
Von euch können vllt 5 % ne SQL injection durchziehen .Von ner XSS ( Cross Site Scripting ) oder ner blind injection wollen wir gar nicht erst reden Geschweige denn wissen die wenigsten überhaupt was das ist. Das das hier alles nicht das tollste ist , wissen die Leute die Ahnung davon haben selber . Also sind die ganzen Großfressen schon mal selber Schuld wenn sie sich hier anmelden und hier auch noch das selbe PW nehmen wie bei ihrem Online Banking Acc . Aber keine Sorge . Eure online Banking Accounts sind auch nichts wert , zwecks keine Tan etc ;)
Und alle die hier meinen ja Anwalt usw , ihr habt nichts drauf . Codet erstmal die aktuelle Page nach . Das Ligascript etc und dann reden wir weiter ihr Baumschüler ;)Und wie bereits gesagt , jeder ist auch in gewisserweise selbst für seinen Datenschutz verantwortlich . Wenn man überall das selbe PW nimmt ist , ist das mind genauso grob fahrlässig ;)
Und wenn hier alle rumschreien von wegen ja warum verschlüsselt ihr die Passwörter nicht etc , dann solltet ihr vllt wissen das man euer 0815 billig verschlüsseltes Passwort in Form eines MD5 Hash in 10 sekunden gecracked hat ;)
Und wenn hier i-welche Leute was labern , ja wenn jetzt mein Steamaccount weg ist usw , dann is daran nicht die injection schuld sondern ihr selber weil ihr euch i-ein scheiß runter gezogen habt . Durch ne Steam ID kann man nicht den Account an sich ziehen , es sei denn das PW wird natürlich seit neusten in der Steam ID gespeichert und nicht in der Registry eures System s ( omg - Ironie ) .
Also bitte alle erstmal vorher überlegen , was sie hier fürn scheiß schreiben . Notfalls bietet doch einfach eure kompetente Unterstützung an und dann is das hier auch alles sicherer her ;)
Mfg Refresh
|
|
(RA)EJAY
|
27.10.2009 12:52
|
@Refresh:
Natürlich kennen sich nicht viele mit Sicherheitslücken aus und wissen diese zu nutzen. Aber soll ich deshalb meine Haustür nicht mehr abschließen, da eh nur ein kleiner Teil der Bevölkerung in der Lage ist mit einem Dietrich umzugehen?!
Warum sollte ich die Seite nachcoden müssen um Mängel anzuprangern? Wenn ich mein Auto in die Werktstatt bringe, dann erwarte ich auch, dass nachher die Bremsen noch funktionieren. Auch wenn ich kein Automechaniker bin. Deshalb machen es ja Leute, die davon Ahnung haben.
OnlineBanking Accounts sind auch ohne TAN etwas Wert: Saldo, Dauerauftrags- und Empfängerliste, und natürlich die Auflistung der Ein- und Ausgangzahlungen.
Dann verwendet man eben nen Salt und schon ist auch ein einfaches Passwort nicht zu dekodieren.
Warum kann man nicht mit einem Passwort einen SteamAccount "hacken"? Erklärs mir mal bitte, auch wenn das ins OT abdriftet ;)
BTT:
Finde es ebenfalls sehr mangelhaft, dass Passwörter im Klartext gespeichert wurden oder sogar noch werden. Jedoch schätze ich es, dass so ein Fehler eingestanden wird und sich auch die Admins zu dem Fall äußern.
Ich hoffe man zieht aus dem Vorfall die richtigen Kosequenzen.
Grüße
E-JAY
|
|
akiller
|
27.10.2009 13:54
|
|
Refresh hat schon recht wie ich es auch gesagt habe mit dem entsprechenden EQ kann man auch MD5 sehr schnell cracken. Z.B mit 2 Aktuellen grakas. Das mit der SQLi und XSS dawürd ich mal wage behaupten das nich mal 5% wirklich verstehen was sie da machen , ne SQLi kann jeder ausgühren aber wenige sind hier fähig zu verstehen.
|
|
|
27.10.2009 14:16
|
@(TheB)MissN xDD kann ich nur sagen ^^
@ voodoo wenn dir der kragen platzt weil man ihm sowas glauben könnte frage ich dich ob du das widerlegen kannst .... wenn ja mach es mal pls ^^
|
|
|
27.10.2009 14:26
|
@ Voodoo,
wenn du mal sämtliche Kommentare, Supportticket usw. hier lesen würdest, wäre die bestimmt aufgefallen das ich mich nicht mit
Und wieder ich ;),
melde
Bei mir steht Hallo oder Hallo Zusammen.
Daher mich interessiert es nicht mehr!
Und mit dem Zusammenreimen Frag mal deine Admins was die so alles erzählen. Zudem nicht zu vergessen das ich auch mal einer von diesem Team war also nicht da mit Zusammenreimen.
In diesem Sinne
Viel erfolg weiterhin auf das soetwas nicht so schnell vorkommt.
MfG
Snip
|
|
(BoV)MisterFresh
|
27.10.2009 14:27
|
ich sag nur im namen eines freundes danke -.-
sein steam account wurde jetz gehackt.
|
|
|
27.10.2009 14:30
|
|
Ganz ehrlich ich sag nur Ihr verkackten Idioten! Wie unverantwortungsvoll gegenüber den Usern die PWs so zu behandeln NC!!! Am schluss standen da rein zufällig unsere Email addressen und sonst was NCNC!! ACC. delete bye
|
|
(CUBS)Lizard
|
27.10.2009 14:38
|
langsam aber doch wunder ich mich über manche ausdrucksweise der admins.
Bez. selber schuld und dem ganzen würde ich aufpassen, da es ja immerhin Datenschutzrichtlinien gibt.
Und zum Thema programmieren und und und, ....
... das passwort verschlüsselt abzulegen (am Serevr) ist keine zauberrei und daher von meiner seite unverständlich, dass es bis jetzt noch keine Änderung gab.
Ich denke, dass gemeinsam an einer Lösung gearbeitet werden sollte.
Den es hat nicht viel Sinn, sich hier gegenseitig "anzumotzen".
Soll nun auch nicht heisen, das alles vergessen sein soll und keiner beachtet es nicht mehr.
ganz im gegeneil.
Im Normalfall lernt man aus Fehlern.
Und gerade bei so einem schwerwiegendem Fehler sollte sich manch antwort gut überlegt werden, da es sicherlich nicht der User ist, welcher die schuld trägt.
Ich bin der Meinung, dass sich die zuständig leute mal zusammensetzen sollten und sich ein gescheites konzeot überlegen bzw festlegen wie es mit der SK weitergeht.
Ich bin zwar neu in der SK, aber sind auch schon einge Sachen gewesen, welche nicht passieren sollten.
Liga Admin etc..
Also bitte Hirn einschalten und dann ne Lösung finden!
Danke!
|
|
Steel
|
27.10.2009 14:40
|
|
(mL)WilliamWallace: Sorry, aber was soll wiederlegt werden? Ich sehe hier nur ein These. Diese kann snip auf äußern. Vielleicht ließt du dir meinen Post noch mal durch. Das kann dir schon helfen.
|
|
(UniQ)Nash
|
27.10.2009 16:18
|
|
Ganz nebenbei: ich bin mal gespannt wie lange es dauert, bis hier von Plain-Text Passwort auf Hash umgestellt wird. Bis jetzt hat sich ja noch nichts geändert. :
|
|
(mymf)Normatel
|
27.10.2009 16:33
|
@(UniQ)Nash:
Das wirst du wohl gar nicht hören wollen, aber ich würde vermuten die Plain-Text Passwörter werden bleiben, und sie werden auch beim neuen Release noch Plain-Text sein. Ich möchte nichts vorweg nehmen, aber ich vermute es, dass Gegenteil wäre natürlich erfreulich.
Sicher ist jeder verärgert was hier passiert ist, aber machen könnt ihr nun auch nichts mehr, gewissen Selektierung von Passwörtern ist heute nun auch nichts ungewöhnliches, ... nehmt manche Kennwortrichtlinien in Firmennetzwerken her, hier müsst ihr alle 3 Monate euer Passwort ändern, so ist es sicher auch kein Fehler wenn ihr das privat tut und min. 2-3 Kennwörter nutzt.
Die ganze Aufregung ist in meinen Augen umsonst, erstens wird sich dadurch nichts ändern und zweitens werden die Member, die wirklich am Ligabetrieb haben auch hinter der Stammkneipe stehen.
Bis dahin.
|
|
ZEAH
|
27.10.2009 17:44
|
Die SK ist jetzt der neue Sündenbock. Meine Fresse schiebt ruhe und kommt mit eurem Pseudoanwalt. Wenn mir jetzt iwas im Inet passiert, mache ich auch die SK dafür verantwortlich... beweise?? wer brauch die schon, wir spekulieren ;D
Den damit werden wir vor Gericht sicher durchkommen... wenn euch vorher nicht schon euer Anwalt ausgelacht und umgestoßen hat.
(schreib einen Support an Steampowered.com und schwups hast du deinen Account wieder, da brauchst du dich nich ewig aufregen)
|
|
|
27.10.2009 19:30
|
12 fehlgeschlagene Loginversuche.
Kann jetzt natürlich Zufall sein. Aber die Meldung hatte ich gerade bei GMX....
|
|
|
27.10.2009 21:20
|
|
auch wenn ihr das kommentar weg macht das beweißt ja nur eure primitive art zu denken ....................... low
|
|
(UniQ)Nash
|
27.10.2009 22:02
|
#Die ganze Aufregung ist in meinen Augen umsonst, erstens wird sich dadurch #nichts ändern...
Das wäre genau das, was mich sauer machen würde. Fehler kann man mal machen und man auch drüber hinwegsehen. Aber das Mindeste was passieren muss, ist dass die Betroffenen aus diesen Fehlern lernen. Ich warts mal ab.
|
|
zicke
|
27.10.2009 23:23
|
Also ein muss ich mal los werden. Wer bei Online-banking das selbe passwort benutz wie auf 30 anderen seiten auch...sry aber dann ist man einfach nur blöd.
Ich persönlich habe 5 Mailadressen und 10 verschiedene passwörter und mal ehrlich leute ein passwort zu knacken ist für leute, die wissen wie es gemacht wird, kein problem. Und dieses kann auf jeder anderen website genauso passieren OHNE das ihr es merkt. Mein Respekt an SK das es öffentlich gemacht wurde . Man hätte es wie schon geschrieben auch unter den Tisch schieben können und ihr hättet nie etwas davon erfahren,da gehört auch mut dazu...sicherlich ist es nicht schön und es wird sicherlich auch daran gearbeitet das sowas nicht nochmal vorkommt. Deswegen muss man hier noch lange nicht seinen persönlichen frust ablassen.
MfG
zicke
|
|
(p3G)myblade
|
28.10.2009 09:41
|
Hahaha alle zusammen :)
Bitte mal cefurox suspendieren...
Sprüche wie "Einbildung ist auch eine Bildung" und der andere Kram, der schon vorher gelaufen ist, sind unprofessionell und zeigen an dieser Stelle Unreife.
Dass er diese Angelegenheit hier schön redet und sie von euch wegschiebt, ist absolut nicht zu übersehen. Beispiele stehen genug in den Kommentaren.
Davon abgesehen: Klar wird hier viel gemeckert. Klar ist das nun passiert. Klar haben auch die User eine gewisse Mitschuld, aber die ist dermaßen minimal, das glaubt ihr gar nicht. Man setzt ja auch nicht einen Blinden auf eine Maschine zum Ernten des Getreides, stellt ein Schild auf "Blinder am Steuer! Betreten auf eigene Gefahr!" und wenn der einen Menschen im Kornfeld mitnimmt, ist er halt selber schuld.
Es ist einfach grob fahrlässig und kommt nicht den Datenschutzgesetzen nach. Soweit so gut. Kommen nun Schäden dadurch zustande und jemand klagt dagegen, werdet ihr euch auch damit abfinden müssen. Das wissen nun auch alle.
Und ich sehe das genauso, wie Nash. Das schlimme ist ja nicht, dass die den Hashwert knacken, sondern, dass die an das Originalpasswort kommen. Portale, wie z.B. Onlinebanking, setzen zu 99% eh noch andere Mechanismen ein, geschweige denn, dass man sich bei dem Beispiel nicht mal mit einer Emailadresse anmeldet.
Ich sag mal, 95% der Leute, die hier meckern sind eindeutig im Recht, manche überziehen hier schon etwas. Aber so ein Verhalten, wie es cefurox an den Tag legt, kommt nicht dem Verhalten eines Admins gleich.
Mal ein Beispiel, wieso das ganze für User noch ziemlich schwierig werden könnte: Mir wurde mal meine Email-Adresse gehackt, weil eine andere Gaming-Seite gehackt wurde. Kurioserweise passierte das genau ein paar Stunden, nachdem meine Wasserkühlung undicht wurde und mein PC damit auch ;) Also merkte ich mir, nie mehr Kühler zu nehmen, die aus 2 Komponenten und 2 unterschiedlichen Materialien (Kupfer und Plastik) bestehen. Was ich an der Stelle nicht merkte, war dass mein Account gehackt wurde - wie auch ohne Rechner. Damit einhergehend fiel dann auch mein Steamaccount, eBay, ESL etc darunter.
Nun zu den angesprochenen Problemen
Fangen wir beim Steamaccount an:
Gegenüber mancher Annahmen war es früher Pflicht, als Steamaccountnamen die zugehörige Email-Adresse zu nehmen. Meines Erachtens nach ist dies heute aber nicht mehr möglich. Folglich, ist die Mailadresse bekannt und dazu noch ein Passwort, ist auch sofort der Steamaccount in Verdacht und es wird an der Stelle ausprobiert. Davon abgesehen, dass die Emailadresse eh der Schlüssel zu fast allem ist, sollte dieser durch das Passwort auch fallen. Aber durch Supports kann man das häufig wiederherstellen lassen.
Bei eBay etc ist dies auch der Fall. Man hat ja ausreichend Daten hinterlegt, um zu beweisen, dass es der eigene Account ist.
ESL auch gemeldet, Account sperren lassen und dank Trusted-Stellung wiederherstellen lassen.
Nun zum Problemkind Nr. 1, die Emailadresse:
Da ich das erst nach einiger Zeit merkte, was passiert war, hatten die Täter genug Zeit gehabt, um rumzufummeln. Dabei hatten Sie in den Accountdaten alle Daten verändert, die man verändern konnte. Nun werdet ihr denken "Tja, aber Historie wird gespeichert"... Anscheinend falsch gedacht. Die Änderungen konnten nicht zurückverfolgt werden. Nach seitenlangen Emaildialogen wurde mein Anliegen an den Bereichsleiter weitergegeben, weil niemand anderes bestimmen durfte. Nach bestimmt 2 Stunden (mit dem Bereichsleiter auf einer kostenpflichtigen Nummer) telefonieren und weiteren Emails konnte ich belegen, dass es mein Account war. Dazu war es nötig, Emails bzw. deren Betreffs und Absender zu kennen, welche sich in den Postfächern befanden. Die ungefähre Zeit, wann der Account erstellt wurde, was nach über 10 Jahren schon äußerst schwer ist. Die Zeit, wann der Account übernommen wurde etc etc etc. Dazu noch Personalausweisvorlage.
Worauf ich hinauswill: Das alles kann eine riesen Tortur werden, vor allem, wenn der Email-Account fällt, denn der ist meist der Schlüssel zu allem. Und ich gehe davon aus, dass die "Sauläden" von GMX, Web.de und wie die ganzen Freemail-Anbieter heißen, alle gleich arbeiten und viele dann anscheinend diese Historie nicht speichern.
Wo war nun das Problem an der Sache? Richtig, die Webseite, die gehackt wurde, war nicht ausreichend geschützt. Und die Datenbank, geschweige denn die Daten darin auch nicht. Auch dort wurden Passwörter als Plaintext gespeichert und waren somit eine Einladung. Egal, wie naiv ein User ist, dass er überall das gleiche Passwort verwendet, so trägt er höchstens eine minimale Teilschuld. Und wieso? Weil er das Passwort nicht freizugänglich weitergetragen hat, sondern lediglich überall das gleiche genommen hat. Den sehr stark überwiegenden Teil der Schuld trägt an dieser Stelle die Webseite, die den Datenverlust zu verzeichnen hat.
So, von daher weniger Gemecker bitte von Admins in Richtung User. Nun schaut einfach zu, dass das ganze schnell gefixt und die Speicherweise der Passwörter überdacht und geändert wird.
Insgesamt lässt sich am Sachverhalt nichts mehr ändern; passiert ist passiert. Wie gesagt, sollten "Schadensersatzansprüche" geltend gemacht werden sollen, müsst ihr euch auch damit abfinden.
Und nun mal "Gusch" an alle :)
Die Reaktionsweise von Voodoo nach dem Vorfall war auf jeden Fall korrekt, so dass nur noch das Loch gestopft bzw. die Lücke in Form der Speicherweise der Passwörter gestopft werden muss.
Grüße
myblade
|
|
(CUBS)Lizard
|
28.10.2009 10:59
|
danke!
endlich einer der wahre worte spricht =)
|
|
lyssar
|
28.10.2009 11:54
|
"... Dass er diese Angelegenheit hier schön redet und sie von euch wegschiebt, ist absolut nicht zu übersehen. Beispiele stehen genug in den Kommentaren."
- nein ich habe an keiner Stelle versucht die Angelegenheit schön zu reden, das habe ich auch mehrmals gesagt, bitte lese in Zukunft ALLE antworten bevor du irgendwen dumm anmachst x)
|
|
(Tcs)nevi
|
28.10.2009 11:58
|
Ich will jetzt keine neue Diskussion anfangen und frage jetzt als Laie:
Wo genau steht der Paragraph, dass man Passwörter verschlüsseln muss?
Ich hab die Seiten, auf denen es angeblich stehen soll überflogen und mit der Suchmaschine nach den Wörtern "Passwort" und "verschlüsselt" durchsucht. Ich fand nichts dergleichen...
|
|
JaN
|
28.10.2009 13:27
|
|
Banane
|
|
|
28.10.2009 14:04
|
Hallo,
@nevi auch hier wieder lest doch erst bitte mal das Datenschutzgesetz und versteht dieses.
MfG
|
|
lyssar
|
28.10.2009 14:38
|
@Snip
Im Datenschutzgestzt steht nichts von "man muss die Passwörter verschlüsseln...", was vorgeschrieben ist, ist wenn mehrere Personen auf diese vertrauliche Daten Zugriff haben muss man einen Datenschutzbeauftragten haben... aber von der Pflicht die Daten zu verschlüsseln steht nirgendwo etwas geschrieben. Wenn ich mich irren sollte, Poste doch bitte die Textstelle (mit Link zum Auszug) um das Ganze zu widerlegen.
|
|
|
28.10.2009 15:46
|
|
XDD
|
|
(f0x)CoOlF1r3
|
28.10.2009 17:14
|
Ich muss ganz ehrlich sagen, das alle Leute hier die schreiben, das dies nicht so schlimm wäre, einfach nur bescheuert sind.
HEUTZUTAGE verwenden sogar diese 0815-Fertig-Hompages ( 4free ) für jedermann kryptologie bei den Daten der User, und gerade für php ler ist das KEINPROBLEM diese pw s mal eben zu hashen.
Ich bitte euch wir haben in meinem Informatik LK md5 Hash verschlüsselung selbstprogrammiert, phpler haben das doch schon alles fertiggestellt, die brauchen dafür kein coder...
Was hier passiert ist meiner Meinung nach einfach nur lächerlich und ich werde meinen accout hier sicher demnächst löschen ( spiele sowieso die Liga seit 3 Jahren nicht mehr.. )
@cefiruoX - Was du da sagst ist nicht ganz richtig, der Inhaber der Seite hat Verantwortung für die persöhnlichen Daten zu tragen, und hat dafür aufrecht zu stehen, dass diese nicht an Dritte weitergeben werden/und sollte auch Mittel in die Wege leiten um sowas zu verindern, was hier eindeutig NICHT PASSIERT ist - und dabei, obwohl es wirklich, wirklich einfach ist solche Listen zu hashen, einfach traurig.
mit dem größten disrespect - ein bald gelöschter, wütender User.
|
|
ZEAH
|
28.10.2009 21:22
|
heul doch heul doch wenn du damit fertig bist, dann bitte geh doch :/
kann man hier mal die Kommentare sperren? wäre vlt einfacher als permanent irgendeine traurige gestalt flamen zu hören. (Tipp für die zukunft: verwende niemals daten in Onlineligen/gamees, die du auch für wichtige Dinge verwendest, dann könnte dir das hier genauso egal sein wie mir)
|
|
FreAk
|
28.10.2009 21:35
|
Sehr schwach! Von Professionalität keine Spur! Sry Leute, ist mir hier etwas zu unsicher. Meld mich ab!
Gl and hf aber net hier ;)
|
|
|
28.10.2009 22:19
|
|
mit Professionalität hat das ihr auch nicht viel zu tuen weder die liga selbst noch die admins und ihre kommentare ^^
|
|
|
29.10.2009 05:11
|
Hallo Zusammen,
@ (xQz)cefuroX(Admin)
ich möchte an dein Kompetenz eigentlich nicht zweifeln. Aber tue uns bitte einen gefallen und schreibe nicht immer das selbe.
Lies bitte das Datenschutzgesetzt komplett und verstehe dies!
Das bdsg besteht nicht nicht nur aus den drei § die du immer liest und falsch zetierst.
MfG
Snip
|
|
ZEAH
|
29.10.2009 18:18
|
Dann zeig uns doch mal bitte die stellen, an denen sich die SK dadurch strafbark gemacht hat und dann können wir dir auch ganz genau sagen, dass du dennoch auf rechtlichem wege keine chance gegen die SK hättest ;)
|
|
|
29.10.2009 18:21
|
Hallo Zusammen,
@ ZEAH mit dir redet doch keiner bei deinen unqualifizierten Aussagen
Dein Zitat vom 28.10.2009 21:22 Uhr
heul doch heul doch wenn du damit fertig bist, dann bitte geh doch :/
kann man hier mal die Kommentare sperren? wäre vlt einfacher als permanent irgendeine traurige gestalt flamen zu hören. (Tipp für die zukunft: verwende niemals daten in Onlineligen/gamees, die du auch für wichtige Dinge verwendest, dann könnte dir das hier genauso egal sein wie mir)
Lachhaft überleg erst einmal wer hier die ganze Zeit am flamen und am beleidigen ist.
MfG
Snip
|
|
ZEAH
|
29.10.2009 19:56
|
Zeig die VERDAMMTEN STELLEN, DU REDEST DIE GANZE ZEIT NUR KÄSE! entweder du zeigst uns nun diese tollen § oder du schweigst endlich. Und was ich schreibe stimmt auch, ihr heult hier nur rum... davon wirds auch nich besser also zeig deine Zeilen und macht endlich eure Anzeigen und fertig...
Aber wie immer nur heiße Luft!
|
|
|
29.10.2009 21:54
|
|
ZEAH is voll der Killer
|
|
|
29.10.2009 22:08
|
Hallo Zusammen,
@ZEAH nur weil du zu Faul bist habe ich es dir rausgesucht
§8
(1) Fügt eine verantwortliche
Stelle dem Betroffenen durch eine nach diesem
Gesetz oder nach anderen Vorschriften
über den Datenschutz unzulässige oder unrichtige
automatisierte Erhebung, Verarbeitung
oder Nutzung seiner personenbezogenen
Daten einen Schaden zu, ist ihr Träger
dem Betroffenen unabhängig von einem
Verschulden zum Schadensersatz verpflichtet.
(2) Bei einer schweren Verletzung des Persönlichkeitsrechts
ist dem Betroffenen der
Schaden, der nicht Vermögensschaden ist,
angemessen in Geld zu ersetzen.
(3) Die Ansprüche nach den Absätzen 1 und
2 sind insgesamt auf einen Betrag von
130 000 Euro begrenzt. Ist aufgrund desselben
Ereignisses an mehrere Personen
Schadensersatz zu leisten, der insgesamt
den Höchstbetrag von 130 000 Euro übersteigt,
so verringern sich die einzelnen
Schadensersatzleistungen in dem Verhältnis,
in dem ihr Gesamtbetrag zu dem
Höchstbetrag steht.
(4) Sind bei einer automatisierten Verarbeitung
mehrere Stellen speicherungsberechtigt
und ist der Geschädigte nicht in der Lage,
die speichernde Stelle festzustellen, so
haftet jede dieser Stellen.
(5) Hat bei der Entstehung des Schadens
ein Verschulden des Betroffenen mitgewirkt,
gilt § 254 des Bürgerlichen Gesetzbuchs
|
|
|
29.10.2009 22:13
|
Hallo,
Sorry nicht § 8 sondern
§9
|
|
lyssar
|
30.10.2009 09:28
|
als letzte anmerkung von adminseite:
du hast §8 gepostet, dieser beschäftigt sich lediglich mit dem schadensersatz, §9 bezieht sich auf automatisierte vorgänge und trifft somit nciht auf diesen fall zu (wie dir eine passende juristische person bestätigen wird, bzw. uns bestätigt hat das das in diesem falle nicht vorliegt).
|
|
Don
|
30.10.2009 23:03
|
Das mit der Lücke kann mal passieren. Das mit den Passworten allerdings nicht. Aber egal, jetzt ist es passiert. Schlimm ist nur das die Passworte noch immer so in der Datenbank stehen. Halllooohhhoooo wann soll das geändert werden? Nie?
Zumal es noch mehr Lücken gibt. Es reicht ja schon mit ein paar Kniffen in einen anderen Account zu kommen und schon kann man das Passwort ändern ohne das alte zu wissen.
|
|
|
31.10.2009 16:33
|
cefuroX ist auch son killer
|
|
ZEAH
|
31.10.2009 19:49
|
Nein, wir wissen lediglich besser bescheid als andere hier, bzw haben uns erkundigt.
Aber William is eher nicht so ein Killer ;)
|
|
(UniQ)Nash
|
01.11.2009 01:28
|
Komisch... Als ich gestern hier reingeschaut habe, gab es noch 178 Kommentare und heute sind es nur noch 173. Nicht nur was für Fans von Zensursula.. womit wir auch beim nächsten Zensur-Prediger wären: @ZEAH:
#Zitat: ZEAH 28.10.2009 21:22
#heul doch heul doch wenn du damit fertig bist, dann bitte geh doch :/
#kann man hier mal die Kommentare sperren? wäre vlt einfacher als permanent
#irgendeine traurige gestalt flamen zu hören. (Tipp für die zukunft: verwende
#niemals daten in Onlineligen/gamees, die du auch für wichtige Dinge
#verwendest, dann könnte dir das hier genauso egal sein wie mir)
Bist ja echt ein Chefrocker: Wenn hier Datenstätze von 120.000 Usern akut gefährdet sind, willst du allen Ernstes den (mehr oder weniger potentiell) Geschädigten den Mund verbieten?! Zumindest sehe ich bei dir keinerlei Spur von technischem Verstädnis, motzt trotzdem hier Leute ungerechtfertigt an und obwohl du dein Pseudo-Wissen so sehr anpreist demonstrierst du nur deine Gleichgültigkeit ("...dann könnte dir das hier genauso egal sein wie mir"). Hab nur von wenigen Leuten gehört dass ihnen etwas Gleichgültig ist, wovon sie Ahnung haben.
Fakt ist: Die Passwörter sind immer noch nicht verschlüsselt. Eigentlich traurig, aber mal abwarten ob in einer Woche Besserung eintritt.
#ZITAT: (p3G)myblade 28.10.2009 09:41
#Man setzt ja auch nicht einen Blinden auf
#eine Maschine zum Ernten des Getreides, stellt ein Schild auf "Blinder am
#Steuer! Betreten auf eigene Gefahr!" und wenn der einen Menschen im Kornfeld
#mitnimmt, ist er halt selber schuld.
Um deine Metapher zu ergänzen: "Das Schild ist gar nicht erst aufgestellt und die Erntemaschine fährt mit getönten Scheiben."
Also da selbst ein User mit IT-Wissen nicht einfach in die DBs und SourceCodes schauen kann, kann er auch bei seiner Registrierung auch nicht bewerten wie sicher das System ist. Und gerade deswegen hat die SK aus moralischer Sicht noch mehr die Pflicht dem "blinden" gutgläubigen Vertrauen des Users bei einer Registrierung, gerecht zu werden.
|
|
(D34th)Bexx
|
01.11.2009 11:54
|
|
*zustimm*
|
|
ZEAH
|
01.11.2009 16:18
|
*Nash nicht zustimm* Gleichgültig ist mir diese Fahrlässigkeit, wie IHR User mit euren Daten umgeht! An zweiter Stelle kommt dann die Tatsache, wie leichtsinnig die SK-mit der Datenbank umgeht. Und den Mund verbiete ich hier niemanden aber von Drohungen und Beleidungen wirds auch nicht besser (war auch meinem Text zu entnehmen ;)) Auch die Tatsache, dass du meine Zeilen aus dem Zusammenhang reißt um mich hier anzukreiden zeigt, dass du nicht besser bist als viele andere! Meine Kommentare sind weder beleidigend noch sonst was, ich schreibe nur so, wie mir geschrieben wird. Und mein Pseudo-Fachwissen stellt sich doch als nicht ganz so pseudo heraus oder? Schließlich hatte ich recht. Schließlich lesen andere nur das, was ihnen gefällt/ was sie brauchen?
Technisches Verständniss? Ganz ehrlich... was willst du damit? ich motze niemanden hier an wovon ich keine Ahnung habe, lediglich zeige ich Leuten, dass Sie per Anwalt keine Chance haben werden und sich an die eigene Nase packen sollten. Aber auch da zeigt sich, du hast nicht einmal die Hälfte gelesen und meinst dir ein Bild von mir zu machen!
|
|
|
01.11.2009 19:39
|
ZEAH ist voll der hänger ja meint hier ein auf arschkricher und die ganzen verpeilten admins hier sind u-low DIE SK hat einen fehler gemacht und nicht die user es ist die pflicht die pw´s geheim zu halten und wenn ihr das ned gebacken bekommt seit ihr unfähig sowas zu machen das war euer untergang ^^
und ZEAH ist hier eh der größte schwachkopf
bist voll der WNB besserwisser hier un schreibst dabei nur scheiße du opfer
|
|
|
04.11.2009 21:18
|
(mL)WilliamWallace CSS 02.11.2009 23:27 30.11.2009 23:27 28 Tage Beleidigungen in Kommentaren und Tickets
ihr seit ne beleidigung.....und kurze frage bin ich hier der einzige der hier wörter benutzt die nich ganz angemessen sind ???
wird ja immer lower mit euch
|
|
|
08.11.2009 02:03
|
|
williamwallace... schau doch mal auf www.seitseid.de vorbei =)
|
