Hallo
Wieso gibt es eigentlich bei OC keine Möglichkeit, die Lösung eines Rätsels so wie bei Geochecker.COM oder Geocheck.ORG auszuprobieren ? Bei falscher Lösung gibt es den Originaltext der Geocachebeschreibung angezeigt und bei richtiger die Beschreibung, die die ganze Wahrheit enthält.
Es wäre sehr schön, wenn das mal programmiert wird, damit man nicht OC verlassen muss, um die Rätsellösung zu prüfen.
Burggeist
Rätsel-Lösungstest bei OC
-
following
[quote="Burggeist"]
Wieso gibt es eigentlich bei OC keine Möglichkeit, die Lösung eines Rätsels so wie bei Geochecker.COM oder Geocheck.ORG auszuprobieren ?
[/quote]
Dieses Feature steht schon seit einer Weile zur Diskussion, allerdings gibt es Sicherheitsbedenken. Die Geochecker-Seiten wurden schon mehrmals gehackt und die Koordinaten im Internet veröffentlicht. Der Server und die Software von Opencaching.de sind zwar sehr professionell gegen Hacker gesichert, aber Vorsicht ist die Mutter der Porzellankiste ...
Ich behelfe mir bei sowas mit einer Quersumme der zu ermittelnden Zahlen.
Wieso gibt es eigentlich bei OC keine Möglichkeit, die Lösung eines Rätsels so wie bei Geochecker.COM oder Geocheck.ORG auszuprobieren ?
[/quote]
Dieses Feature steht schon seit einer Weile zur Diskussion, allerdings gibt es Sicherheitsbedenken. Die Geochecker-Seiten wurden schon mehrmals gehackt und die Koordinaten im Internet veröffentlicht. Der Server und die Software von Opencaching.de sind zwar sehr professionell gegen Hacker gesichert, aber Vorsicht ist die Mutter der Porzellankiste ...
Ich behelfe mir bei sowas mit einer Quersumme der zu ermittelnden Zahlen.
Hallo mic@
Hier geht es doch um den Test, ob ein Rätsel richtig gelöst wurde. In diesem Zusammenhang verstehe ich Deine beiden Geocaches OC1DF3 und OC1E80 nicht. Wie kann man denn beim OC1E80 prüfen, ob das Rätsel richtig gelöst wurde ?
Anmerkung: Manche Cacher (mache ich auch) wohnen ganz weit weg und bereiten zum Beispiel für den Urlaub eine Cachetour vor. Wie stellst Du Dir das vor, soll der Cacher erst mal schnell nach Berlin fahren ? Jedenfalls verstehe ich diese Lösung mit der kleinen Schwester so.
Burggeist
Hier geht es doch um den Test, ob ein Rätsel richtig gelöst wurde. In diesem Zusammenhang verstehe ich Deine beiden Geocaches OC1DF3 und OC1E80 nicht. Wie kann man denn beim OC1E80 prüfen, ob das Rätsel richtig gelöst wurde ?
Anmerkung: Manche Cacher (mache ich auch) wohnen ganz weit weg und bereiten zum Beispiel für den Urlaub eine Cachetour vor. Wie stellst Du Dir das vor, soll der Cacher erst mal schnell nach Berlin fahren ? Jedenfalls verstehe ich diese Lösung mit der kleinen Schwester so.
Burggeist
Zuletzt geändert von Burggeist am 25.01.2016, 18:40, insgesamt 1-mal geändert.
[quote="Burggeist"]
Wie kann man denn beim OC1E80 prüfen, ob das Rätsel richtig gelöst wurde ?
[/quote]
Man kann nur ungefähr testen, ob das Rätsel richtig gelöst ist, da die Rätseldose im Umkreis von 50 Metern um den Tradi liegt.
Wie kann man denn beim OC1E80 prüfen, ob das Rätsel richtig gelöst wurde ?
[/quote]
Man kann nur ungefähr testen, ob das Rätsel richtig gelöst ist, da die Rätseldose im Umkreis von 50 Metern um den Tradi liegt.
[url=http://www.opencaching.de/viewprofile.php?userid=159941][img]http://www.opencaching.de/statpics/DE/159941.jpg[/img][/url]
[quote="Slini11"]Man kann nur ungefähr testen, ob das Rätsel richtig gelöst ist, da die Rätseldose im Umkreis von 50 Metern um den Tradi liegt.[/quote]
Korrekt. Die "kleine Schwester" ist kein Geochecker, aber sie dient dazu, ein mögliches Resultat
auf Plausiibilität zu prüfen. Da die Mysterykoordinaten weitab liegen, kommt man nicht einfach
durch Zufall in die Nähe von ihr. Sollte man es aber geschafft haben, dann sind die Koordinaten
auch korrekt. Und notfalls kann man mich an anmailen (machen sowieso 75% der Found-Logger,
denn irgendwo bleiben sie meistens schon stecken)
Korrekt. Die "kleine Schwester" ist kein Geochecker, aber sie dient dazu, ein mögliches Resultat
auf Plausiibilität zu prüfen. Da die Mysterykoordinaten weitab liegen, kommt man nicht einfach
durch Zufall in die Nähe von ihr. Sollte man es aber geschafft haben, dann sind die Koordinaten
auch korrekt. Und notfalls kann man mich an anmailen (machen sowieso 75% der Found-Logger,
denn irgendwo bleiben sie meistens schon stecken)
Hallo Mic@,
da finde ich aber die Lösung mit Geocheck.ORG praktischer, weil man da nicht nur die genaue Koordinate vergleichen kann, sondern auch kleine Hilfen einbauen kann, zum Beispiel für häufig falsch geratene Werte/Bereiche.
Aber das ist nur Geschmackssache. Der eigentliche Gedanke war ja, ob es möglich wäre, des Rätsels Lösung gleich bei OC zu prüfen, also den genauen Wert meine ich.
Burggeist
da finde ich aber die Lösung mit Geocheck.ORG praktischer, weil man da nicht nur die genaue Koordinate vergleichen kann, sondern auch kleine Hilfen einbauen kann, zum Beispiel für häufig falsch geratene Werte/Bereiche.
Aber das ist nur Geschmackssache. Der eigentliche Gedanke war ja, ob es möglich wäre, des Rätsels Lösung gleich bei OC zu prüfen, also den genauen Wert meine ich.
Burggeist
[quote="Burggeist"]Der eigentliche Gedanke war ja, ob es möglich wäre, des Rätsels Lösung gleich bei OC zu prüfen...[/quote]
Da ich followings Sicherheitsbedenken teile, denke ich mal, daß dieses Feature nicht so bald kommen wird.
Denn so eine Meldung
http://jr849.de/allgemein/finaltausch-auf-facebook-einblick-in-die-liste/
möchte ich nicht für OC sehen...
Da ich followings Sicherheitsbedenken teile, denke ich mal, daß dieses Feature nicht so bald kommen wird.
Denn so eine Meldung
http://jr849.de/allgemein/finaltausch-auf-facebook-einblick-in-die-liste/
möchte ich nicht für OC sehen...
Naja, man müsste es ebend nur gut genug verschlüsseln. Im Endeffekt ist ja jede Verschlüsslung knackbar, ist nur die Frage welchen Aufwand ein potentieller Angreifer dafür betreiben muss.
Es wäre natürlich interessant zu wissen, wie Geocheck.org seine Daten gesichert hat und wo die Schwachstelle lag. Laut dem Facebook-Statement waren die Passwörter gehashed aber die Datenbank an sich wurde herruntergeladen und die Koordinaten selber waren wohl auch nicht gehashed. Sonst hätten die nicht so schnell 27k veröffentlicht. Unser "Problem" ist eben auch nochmal, dass wir OpenSouce sind, was uns auf der einen Seite sicherer macht aber auf der anderen auch angreifbarer. Ich glaube allerdings nicht, dass wir so ein lukratives Ziel sind, im Vergleich zu GCcom, die ja die Angriffe offenbar abwehren konnten, oder anderen Geochecker-Plattformen. Ich finde das Feature selbst sehr genial, aber da muss man wohl gut abwägen. Vielleicht wird es ja irgendwann doch nochmal was
.
Es wäre natürlich interessant zu wissen, wie Geocheck.org seine Daten gesichert hat und wo die Schwachstelle lag. Laut dem Facebook-Statement waren die Passwörter gehashed aber die Datenbank an sich wurde herruntergeladen und die Koordinaten selber waren wohl auch nicht gehashed. Sonst hätten die nicht so schnell 27k veröffentlicht. Unser "Problem" ist eben auch nochmal, dass wir OpenSouce sind, was uns auf der einen Seite sicherer macht aber auf der anderen auch angreifbarer. Ich glaube allerdings nicht, dass wir so ein lukratives Ziel sind, im Vergleich zu GCcom, die ja die Angriffe offenbar abwehren konnten, oder anderen Geochecker-Plattformen. Ich finde das Feature selbst sehr genial, aber da muss man wohl gut abwägen. Vielleicht wird es ja irgendwann doch nochmal was
.[url=http://www.opencaching.de/viewprofile.php?userid=159941][img]http://www.opencaching.de/statpics/DE/159941.jpg[/img][/url]
-
following
Mit einem salted Hash könnte man die Koordinaten in der Tat schützen, solange nur die Datenbank und nicht der ganze Server geknackt wird. Die Koordinaten wären dann für niemanden mehr rekonstruierbar, auch nicht für den Owner. Man könnte sie aber mit neu eingegebenen Koordinaten vergleichen.
Das muss letztendlich der Technikleiter und der Verein entscheiden, ob hier ein relevantes Risiko entstehen würde oder nicht.
Das muss letztendlich der Technikleiter und der Verein entscheiden, ob hier ein relevantes Risiko entstehen würde oder nicht.
-
Schnatterfleck
- Vereinsmitglied
- Beiträge: 124
- Registriert: 12.08.2013, 07:41
[quote="following"]
Mit einem salted Hash könnte man die Koordinaten in der Tat schützen,
[/quote]
Salzen bringt da wohl nix, da Cache-Koordinaten ohnehin (pseudo-)zufällig verteilt sind und deshalb nicht anfällig für Wörterbuch-Attacken sind.
[quote="following"]
Man könnte sie aber mit neu eingegebenen Koordinaten vergleichen.
[/quote]
Da liegt genau das Problem. Die Koordinaten bilden einen überschaubar endlichen Wertebereich (Für Deutschland z.B. irgendwas in der Größenordnung 150*10^9, wenn ich das richtig abgeschätzt habe).
Damit sind die Koordinaten-Hashes gut durch einen Brute-Force-Ansatz angreifbar.
Was dagegen möglicherweise wirklich helfen könnte, wäre zusätzliches "pfeffern", was aber sicher auch nicht so trivial ausreichend sicher hinzubekommen ist.
Ich bin daher eher gegen eine integrierte Lösungshilfe.
Der Aufwand und das Risiko sind im Vergleich zum Mehrwert meiner Meinung nach zu gering.
Mit einem salted Hash könnte man die Koordinaten in der Tat schützen,
[/quote]
Salzen bringt da wohl nix, da Cache-Koordinaten ohnehin (pseudo-)zufällig verteilt sind und deshalb nicht anfällig für Wörterbuch-Attacken sind.
[quote="following"]
Man könnte sie aber mit neu eingegebenen Koordinaten vergleichen.
[/quote]
Da liegt genau das Problem. Die Koordinaten bilden einen überschaubar endlichen Wertebereich (Für Deutschland z.B. irgendwas in der Größenordnung 150*10^9, wenn ich das richtig abgeschätzt habe).
Damit sind die Koordinaten-Hashes gut durch einen Brute-Force-Ansatz angreifbar.
Was dagegen möglicherweise wirklich helfen könnte, wäre zusätzliches "pfeffern", was aber sicher auch nicht so trivial ausreichend sicher hinzubekommen ist.
Ich bin daher eher gegen eine integrierte Lösungshilfe.
Der Aufwand und das Risiko sind im Vergleich zum Mehrwert meiner Meinung nach zu gering.
-
Team Brummi
- Nano
- Beiträge: 50
- Registriert: 02.12.2014, 07:11
Ohne jetzt jemanden auf die Füße treten zu wollen ... wir reden hier von einem Spiel, nicht von einem Bankserver. Für jedes Adventuregame gibt es walkthroughs, für den Rummikub eine Lösunganleitung und es gibt Onlinesolver für Sudoku. Niemanden kümmert es ...
Aber das ist ja nicht das Diskussionsthema.
Was ich eigentlich schreiben wollte:
Ginge es nicht dass man eine Passwortabfrage mit den KO als Antwort erstellt und wenn diese richtig beantwortet ist kann man losgehen und die Dose suchen? Also Passwortabfrage vor dem Logvorgang.
Dann bin ich selber, als Owner, dafür verantwortlich ob jemand cheatet oder nicht.
Oder (da weiß ich jetzt nicht ob das geht, machbar ist) man baut ein html tag "mailto" ein und mit dem Klick schickt man die errechneten KO an eine Emailadresse. N12.345E54.321@bla.de und bekommt eine automatische Antwort. Wobei das ja auch wieder third party wäre, zumindest teilweise.
Aber das ist ja nicht das Diskussionsthema.
Was ich eigentlich schreiben wollte:
Ginge es nicht dass man eine Passwortabfrage mit den KO als Antwort erstellt und wenn diese richtig beantwortet ist kann man losgehen und die Dose suchen? Also Passwortabfrage vor dem Logvorgang.
Dann bin ich selber, als Owner, dafür verantwortlich ob jemand cheatet oder nicht.
Oder (da weiß ich jetzt nicht ob das geht, machbar ist) man baut ein html tag "mailto" ein und mit dem Klick schickt man die errechneten KO an eine Emailadresse. N12.345E54.321@bla.de und bekommt eine automatische Antwort. Wobei das ja auch wieder third party wäre, zumindest teilweise.
-
following
[quote="Schnatterfleck"]
Salzen bringt da wohl nix, da Cache-Koordinaten ohnehin (pseudo-)zufällig verteilt sind und deshalb nicht anfällig für Wörterbuch-Attacken sind.
[/quote]
Die Final-Koordinaten eines Multi oder Mystery liegen fast immer in wenigen Kilometern Umkreis der Listingkoordinaten. Man kann also eine Umkreis-Attacke auf den Hash fahren, die paar Millionen Möglichkeiten sind schnell durchgespielt. Ein Salt verhindert dagegen jeglichen Brute-Force-Angriff, weil es zu viele mögliche Salts gibt. Oops, da hab ich Salz und Pfeffer verwechselt (weil es im OC-Code anders benannt ist). Letzteres war gemeint.
[quote="Team Brummi"]
Ohne jetzt jemanden auf die Füße treten zu wollen ... wir reden hier von einem Spiel, nicht von einem Bankserver. Für jedes Adventuregame gibt es walkthroughs, für den Rummikub eine Lösunganleitung und es gibt Onlinesolver für Sudoku. Niemanden kümmert es ...
[/quote]
Die Geochecker-Seiten wurden gehackt, das ist real. Das ist einerseits ein GAU für den Betreiber, andererseits wurden daraufhin jede Menge Cachelistings archiviert, weil für die Owner der Reiz ihrer Caches verloren gegangen ist. Auch www.opencaching.de wird permanent von Hackern belagert, so wie jede andere bekannte öffentliche Website.
Salzen bringt da wohl nix, da Cache-Koordinaten ohnehin (pseudo-)zufällig verteilt sind und deshalb nicht anfällig für Wörterbuch-Attacken sind.
[/quote]
Die Final-Koordinaten eines Multi oder Mystery liegen fast immer in wenigen Kilometern Umkreis der Listingkoordinaten. Man kann also eine Umkreis-Attacke auf den Hash fahren, die paar Millionen Möglichkeiten sind schnell durchgespielt. Ein Salt verhindert dagegen jeglichen Brute-Force-Angriff, weil es zu viele mögliche Salts gibt. Oops, da hab ich Salz und Pfeffer verwechselt (weil es im OC-Code anders benannt ist). Letzteres war gemeint.
[quote="Team Brummi"]
Ohne jetzt jemanden auf die Füße treten zu wollen ... wir reden hier von einem Spiel, nicht von einem Bankserver. Für jedes Adventuregame gibt es walkthroughs, für den Rummikub eine Lösunganleitung und es gibt Onlinesolver für Sudoku. Niemanden kümmert es ...
[/quote]
Die Geochecker-Seiten wurden gehackt, das ist real. Das ist einerseits ein GAU für den Betreiber, andererseits wurden daraufhin jede Menge Cachelistings archiviert, weil für die Owner der Reiz ihrer Caches verloren gegangen ist. Auch www.opencaching.de wird permanent von Hackern belagert, so wie jede andere bekannte öffentliche Website.
Zuletzt geändert von following am 27.01.2016, 16:23, insgesamt 1-mal geändert.
-
Team Brummi
- Nano
- Beiträge: 50
- Registriert: 02.12.2014, 07:11
Das die Geochecker-Seite gehackt wurde steht außer Frage. Auch das hacken per se illegal ist.Die Geochecker-Seiten wurden gehackt, das ist real. Das ist einerseits ein GAU für den Betreiber, andererseits wurden daraufhin jede Menge Cachelistings archiviert, weil für die Owner der Reiz ihrer Caches verloren gegangen ist. Auch www.opencaching.de wird permanent von Hackern belagert, so wie jede andere bekannte öffentliche Website.
Und für den Betreiber ist es ein GAU weil seine Glaubwürdigkeit in Frage gestellt wird, auch das ist unbestritten.
Aber! ... das Owner irgendetwas verloren haben außer ihren Stolz oder ihre eingebildete Besonderheit kann ich nicht feststellen. Und aus dem Grund Listings zu archivieren finde ich kindisch. Ja, auch unser Cache steht auf dieser Liste, und?
Den Leuten die versuchen OC zu hacken geht es bestimmt nicht um Final KO ... sage ich jetzt mal ... die sind auf der Suche nach Emailadressen zwecks Spam, Kontodaten oder andere Zugangsdaten (es soll ja Menschen geben die überall das selbe PW nehmen). Natürlich gilt es sich dagegen zu schützen, mache ich an meinem heimischen PC ja nicht anders. Ich finde es aber tragischer wenn z.B. Bank-, Email-, private Seiten gehackt werden als Seiten eines Spiels. Und wenn man, um den Bogen wieder zurück zu schlagen, etwas einzigartiges bieten _könnte_ sollte man es nicht aus übertriebenen Sicherheitsbedenken ablehnen.
Nur meine Meinung
