Anmelden
Registrieren
Antworten
1
- Auf Seite
- springen
Views:
538
|
Antworten:
2
-
-
- Mitglied seit: 2017-07-22
- Beiträge: 1
- Antworten: 0
1# Gehe zuZuletzt bearbeitet von MarcVakarian um 18.7.2017 06:14 Hallo Zusammen,
mir ist heute aufgefallen das der Launcher jegliche Daten, also auch Benutzername/Passwort zwischen den Servern in Klartext versendet.
Kurze Geschichte wie mir das aufgefallen ist:
Für meine Passwortverwaltung benutze ich Keepass.
Ich habe mir einen Nebenaccount erstellt und das Passwort dafür in KeePass generiert. Hab mich im Launcher eingeloggt und als Nebenaccount hinzugefügt. Blöderweise habe ich in KeePass nicht gespeichert und das Passwort so verloren, was mir allerdings erst später aufgefallen ist. Die Logindaten waren aber noch in dem Launcher gespeichert, also konnte ich spielen.
Habe den Support wegen des Passworts angeschrieben und dabei einen Bug auf der Webseite gefunden weswegen keine E-Mails gesendet werden.
Das Problem ist aktuell wohl auch in Bearbeitung da diese Option zum Passwort Zurücksetzen seit ca 1 Monat auf der Webseite verschwunden ist, allerdings habe ich nach 3 Monaten immer noch kein Passwort für meinen Account.
Da mir aufgefallen ist das die Webseite auch für Login-Elemente keine SSL Verschlüsselung nutzt, ist mir der Verdacht gekommen das der Launcher wohl ebenfalls keine verwendet. Also habe ich mir Wireshark heruntergeladen, den Netzwerkverkehr auf meiner Netzwerkkarte während des Einloggens mitgeschnitten und wurde dann auch schnell fündig:
Weiter ist mir in späteren Paketen aufgefallen das auch weitere Daten gesendet werden die ebenfalls von persönlichem Interesse sind.
Dazu gehören noch einmal die Email, der Benutername (gewissermaßen irrelevant da wenn vorhanden eh öffenltich), das Geschlecht, das Geburtsdatum und die Telefonnummer! wenn hinterlegt.
Hier muss dringend nachgebessert werden! SSL Verschlüsselung ist beim Umgang mit Logindaten schon sehr lange Standard. Diese Daten in Klartext über öffentliche Netze zu schicken ist grob fahrlässig. Das ist nicht nur ein Problem für die Sicherheit der Oasisgames Accounts, sondern auch für jeden Account auf anderen Plattformen bei dem die Nutzer die gleichen Logindaten verwenden.
Desweiteren sollte es selbstverständlich sein auch jegliche andere Personenbezogene Daten verschlüsselt zu übertragen.
Ich würde mich über ein Kommentar von den zuständigen Personen zu diesem Thema sehr freuen.
Allen Nutzern empfehle ich ein einzigartiges Passwort für eure Accounts hier zu verwenden.
Viele Grüße
MarcVakarian
-
-
-
- Mitglied seit: 2017-07-22
- Beiträge: 11
- Antworten: 968
Die Passwörter werden auch i Klartext im Launcher gespeichert :>
Also falls du demnächst nochmal dein Passwort vergessen solltest: einfach rechtsklick auf das Login-Fenster (nicht auf den 2 Textfeldern) und dann "View Source" auswählen und mit Strg+F nach deiner E-Mail suchen, da steht dann dein Passwort :)
Zur Launcher Sicherheit: naja das ist für mich ein weiterer Grund den Launcher nur für twinks zu benutzen.
Ich kann auch nur jedem davon abraten eine E-Mail und Passwort Kombination zu wählen die ihr wo anders schon nutzt. -
Antworten
1
- Auf Seite
- springen
Sofort posten
Antworten
Du musst dich zuerst anmelden, um Beiträge posten zu können. Anmelden | Registrieren
1 Beitrag ausgewählt
Begründung:
Okay
Du hast noch nichts ausgewählt!
1 Beitrag ausgewählt
Okay
Du hast noch nichts ausgewählt!
Melden
Okay
Du hast noch nichts ausgewählt!
1 Beitrag ausgewählt
Okay
Du hast noch nichts ausgewählt!
1 Beitrag ausgewählt
Okay
Du hast noch nichts ausgewählt!
1 Beitrag ausgewählt
Bestätigen Löschen Gewählte Themen?
Begründung:
Okay
Du hast noch nichts ausgewählt!
1 Beitrag ausgewählt
Bestätigen Löschen Ausgewählter Beitrag?
Begründung:
Okay
Du hast noch nichts ausgewählt!
In diesem Forumsbereich sperren
Okay
Du hast noch nichts ausgewählt!
