Rätsel-Lösungstest bei OC
-
Kassena Tomat
- Nano
- Beiträge: 85
- Registriert: 14.08.2015, 12:45
Du Schlaumeier. Es geht um die "normalen" Nutznießer, die geklaute bzw. im Netz oder auf Events weitergegebene Finalkoordinaten von Mysterys bekommen. Die Dose also ansteuern, ohne den Multi oder das Rätsel absolviert zu haben.
-
Natureshadow / König Moderig
- Vereinsmitglied
- Beiträge: 96
- Registriert: 17.06.2012, 00:50
OK, jetzt mal zurück zum Thema Sicherheit.
Selbst wenn die Befürchtungen angemessen wären, könnte man das ja technisch einfach so lösen, dass eine geklaute Datenbank nichts bringt. Nennt sich Hashing, und könnte man sowohl für Final-Koordinaten als auch für Log-Passwörter machen
.
Das wäre ziemlich paranoid, aber es zeigt, dass das alles keine Gründe gegen das Feature sind.
Selbst wenn die Befürchtungen angemessen wären, könnte man das ja technisch einfach so lösen, dass eine geklaute Datenbank nichts bringt. Nennt sich Hashing, und könnte man sowohl für Final-Koordinaten als auch für Log-Passwörter machen
.Das wäre ziemlich paranoid, aber es zeigt, dass das alles keine Gründe gegen das Feature sind.
[url=http://www.opencaching.de/viewprofile.php?userid=161483][img]http://www.opencaching.de/statpics/DE/161483.jpg[/img][/url]
Ich glaube wirklich das das Hauptproblem darin liegt, das wir durch diese Features erst gar nicht den Anreiz zum Hacken erhöhen wollen.
Das ist das Problem und nicht dass, das wir die Daten nicht sicher hinterlegen könnten.
Der Imageverlust wäre wohl für jede Webseite sehr hoch, wenn sie verkünden müsste, das die Datenbank gehackt wurde.
Abseits davon: Die verstecken Koordinaten & Finalkoordinaten bei Groundspeak sind ja auch nicht gehashed, oder?
Das ist das Problem und nicht dass, das wir die Daten nicht sicher hinterlegen könnten.
Der Imageverlust wäre wohl für jede Webseite sehr hoch, wenn sie verkünden müsste, das die Datenbank gehackt wurde.
Abseits davon: Die verstecken Koordinaten & Finalkoordinaten bei Groundspeak sind ja auch nicht gehashed, oder?
[url=http://www.opencaching.de/viewprofile.php?userid=159941][img]http://www.opencaching.de/statpics/DE/159941.jpg[/img][/url]
-
Natureshadow / König Moderig
- Vereinsmitglied
- Beiträge: 96
- Registriert: 17.06.2012, 00:50
[quote="Slini11"]
Abseits davon: Die verstecken Koordinaten & Finalkoordinaten bei Groundspeak sind ja auch nicht gehashed, oder?
[/quote]
Das weiß ich nicht, der Code liegt ja nicht offen.
Als sie damals auf den Karten aufgetaucht sind, waren sie es ziemlich sicher nicht. Wie das jetzt aussieht, kann man nicht sagen.
-nik
Abseits davon: Die verstecken Koordinaten & Finalkoordinaten bei Groundspeak sind ja auch nicht gehashed, oder?
[/quote]
Das weiß ich nicht, der Code liegt ja nicht offen.
Als sie damals auf den Karten aufgetaucht sind, waren sie es ziemlich sicher nicht. Wie das jetzt aussieht, kann man nicht sagen.
-nik
[url=http://www.opencaching.de/viewprofile.php?userid=161483][img]http://www.opencaching.de/statpics/DE/161483.jpg[/img][/url]
[quote="Natureshadow / König Moderig"]
Wie das jetzt aussieht, kann man nicht sagen.
[/quote]
Naja, ich als Owner kann meine versteckten Koodinaten ja immer noch in Klarschrift einsehen, sonst wäre die Funktion ja auch unsinnig.
Somit können die ja nicht gehashed sein (oder ich habe das Prinzip des hashens falsch verstanden).
Wie das jetzt aussieht, kann man nicht sagen.
[/quote]
Naja, ich als Owner kann meine versteckten Koodinaten ja immer noch in Klarschrift einsehen, sonst wäre die Funktion ja auch unsinnig.
Somit können die ja nicht gehashed sein (oder ich habe das Prinzip des hashens falsch verstanden).
[url=http://www.opencaching.de/viewprofile.php?userid=159941][img]http://www.opencaching.de/statpics/DE/159941.jpg[/img][/url]
-
Natureshadow / König Moderig
- Vereinsmitglied
- Beiträge: 96
- Registriert: 17.06.2012, 00:50
[quote="Slini11"]
[quote="Natureshadow / König Moderig"]
Wie das jetzt aussieht, kann man nicht sagen.
[/quote]
Naja, ich als Owner kann meine versteckten Koodinaten ja immer noch in Klarschrift einsehen, sonst wäre die Funktion ja auch unsinnig.
Somit können die ja nicht gehashed sein (oder ich habe das Prinzip des hashens falsch verstanden).
[/quote]
Im Falle des Geocheckers würde man eine Kopie hashen (zur Prüfung, wenn ein anderer Benutzer die Koordinaten eingibt) und eine Kopie symmetrisch mit einem Benutzer-Secret, z.B. dem einem abgeleiteten Schlüssel aus dem Passwort, verschlüsseln.
Aber im Falle von GC.com können ja auch die Reviewer die Koordinaten sehen, von daher sind sie wohl Klartext.
[quote="Natureshadow / König Moderig"]
Wie das jetzt aussieht, kann man nicht sagen.
[/quote]
Naja, ich als Owner kann meine versteckten Koodinaten ja immer noch in Klarschrift einsehen, sonst wäre die Funktion ja auch unsinnig.
Somit können die ja nicht gehashed sein (oder ich habe das Prinzip des hashens falsch verstanden).
[/quote]
Im Falle des Geocheckers würde man eine Kopie hashen (zur Prüfung, wenn ein anderer Benutzer die Koordinaten eingibt) und eine Kopie symmetrisch mit einem Benutzer-Secret, z.B. dem einem abgeleiteten Schlüssel aus dem Passwort, verschlüsseln.
Aber im Falle von GC.com können ja auch die Reviewer die Koordinaten sehen, von daher sind sie wohl Klartext.
[url=http://www.opencaching.de/viewprofile.php?userid=161483][img]http://www.opencaching.de/statpics/DE/161483.jpg[/img][/url]
-
OConly
[quote="Slini11"]
Ich glaube wirklich das das Hauptproblem darin liegt, das wir durch diese Features erst gar nicht den Anreiz zum Hacken erhöhen wollen.[/quote]
Sorry, aber die Sache mit dem "Anreiz zum Hacken" ist doch ausgemachter Unfug. Nur weil man Finalkoordinaten in der Datenbank hat, erhöht man doch keinen Anreiz für Hacker.
Wenn jemand bei OC einbrechen will, dann dürfte er auf Emailadressen aus sein, aber nicht auf irgendwelche Koordinaten. Das da nun mal ein Checker gehackt wurde, liegt wohl einfach daran, das dort stümperhafter Code verwendet wurde und so vermutlich ein einfacher Versuch sofort zum Erfolg führte.
Da sollte OC deutlich besser aufgestellt sein und nicht jedem Scriptkiddie die Tür offenhalten.
Aber gut, man kann natürlich auch Gefahren dorthin konstruieren, wo keine sind.
Ich glaube wirklich das das Hauptproblem darin liegt, das wir durch diese Features erst gar nicht den Anreiz zum Hacken erhöhen wollen.[/quote]
Sorry, aber die Sache mit dem "Anreiz zum Hacken" ist doch ausgemachter Unfug. Nur weil man Finalkoordinaten in der Datenbank hat, erhöht man doch keinen Anreiz für Hacker.
Wenn jemand bei OC einbrechen will, dann dürfte er auf Emailadressen aus sein, aber nicht auf irgendwelche Koordinaten. Das da nun mal ein Checker gehackt wurde, liegt wohl einfach daran, das dort stümperhafter Code verwendet wurde und so vermutlich ein einfacher Versuch sofort zum Erfolg führte.
Da sollte OC deutlich besser aufgestellt sein und nicht jedem Scriptkiddie die Tür offenhalten.
Aber gut, man kann natürlich auch Gefahren dorthin konstruieren, wo keine sind.
-
Natureshadow / König Moderig
- Vereinsmitglied
- Beiträge: 96
- Registriert: 17.06.2012, 00:50
[quote="OConly"]
Aber gut, man kann natürlich auch Gefahren dorthin konstruieren, wo keine sind.
[/quote]
Richtig. Danke!
Um es nochmal anders auszudrücken: Ja, jemand könnte Interesse daran haben, die Datenbank wegen der Koordinaten rauszutragen. Aber wenn diesem jemand das aufgrund von Sicherheitslücken möglich ist, *dann* haben wir eh andere Sorgen und die Daten werden schon deutlich vorher aus anderen Motiviationen abhanden kommen.
Es ist reine Illusion, wenn man sich denkt, man würde nicht gehackt. Wenn es Möglichkeiten gibt, Daten rauszutragen, dann wird das auch gemacht. ALso entweder OC.de hat *jetzt* ein Problem, und zwar nciht mit Finalkoordinaten, oder die Finalkoordinaten werden auch kein neues Problem verursachen.
Aber gut, man kann natürlich auch Gefahren dorthin konstruieren, wo keine sind.
[/quote]
Richtig. Danke!
Um es nochmal anders auszudrücken: Ja, jemand könnte Interesse daran haben, die Datenbank wegen der Koordinaten rauszutragen. Aber wenn diesem jemand das aufgrund von Sicherheitslücken möglich ist, *dann* haben wir eh andere Sorgen und die Daten werden schon deutlich vorher aus anderen Motiviationen abhanden kommen.
Es ist reine Illusion, wenn man sich denkt, man würde nicht gehackt. Wenn es Möglichkeiten gibt, Daten rauszutragen, dann wird das auch gemacht. ALso entweder OC.de hat *jetzt* ein Problem, und zwar nciht mit Finalkoordinaten, oder die Finalkoordinaten werden auch kein neues Problem verursachen.
[url=http://www.opencaching.de/viewprofile.php?userid=161483][img]http://www.opencaching.de/statpics/DE/161483.jpg[/img][/url]
-
following
Schön dass ihr so aus der hohlen Hand raus komplexe Sachverhalte beurteilen könnt, bei denen ich mir nach 1000 Stunden Opencaching-Entwicklung und mit guter Kenntnis der OC-Software immer noch kein Urteil zutraue. Dann kann ja nichts mehr schiefgehen.
-
Natureshadow / König Moderig
- Vereinsmitglied
- Beiträge: 96
- Registriert: 17.06.2012, 00:50
[quote="following"]
Schön dass ihr so aus der hohlen Hand raus komplexe Sachverhalte beurteilen könnt, bei denen ich mir nach 1000 Stunden Opencaching-Entwicklung und mit guter Kenntnis der OC-Software immer noch kein Urteil zutraue. Dann kann ja nichts mehr schiefgehen.
[/quote]
Wie bitte?
Nichts von dem hier hat etwas mit der bisherigen OC-Entwicklung zu tun.
Wir haben lediglich gesagt: Wenn die Software unsicher ist, dann wird sie auch ohne Finalkoordinaten gehackt, und zwar eher als gerade *wegen* der Finalkoordinaten.
Dafür braucht man keine Erfahrung in der Entwicklung der speziellen Software, das ist eine Einschätzung, die davon vollkommen unabhängig ist.
Schön dass ihr so aus der hohlen Hand raus komplexe Sachverhalte beurteilen könnt, bei denen ich mir nach 1000 Stunden Opencaching-Entwicklung und mit guter Kenntnis der OC-Software immer noch kein Urteil zutraue. Dann kann ja nichts mehr schiefgehen.
[/quote]
Wie bitte?
Nichts von dem hier hat etwas mit der bisherigen OC-Entwicklung zu tun.
Wir haben lediglich gesagt: Wenn die Software unsicher ist, dann wird sie auch ohne Finalkoordinaten gehackt, und zwar eher als gerade *wegen* der Finalkoordinaten.
Dafür braucht man keine Erfahrung in der Entwicklung der speziellen Software, das ist eine Einschätzung, die davon vollkommen unabhängig ist.
[url=http://www.opencaching.de/viewprofile.php?userid=161483][img]http://www.opencaching.de/statpics/DE/161483.jpg[/img][/url]
-
following
Eine Software, die unsicher ist, wird nicht zwangsläufig gehackt. Es gibt nur die Wahrscheinlichkeit eines Hacks, und die ist immer größer als Null, weil man Sicherheitslücken nie 100%ig ausschließen kann. Dass das Hinzufügen der Finalkoordinaten zur Datenbank diese Wahrscheinlichkeit erhöht, ist ein Fakt. Fakt ist auch, dass jeder erfolgreiche Hack - egal aus welchem Motiv, und egal welche Daten erbeutet werden - ein GAU ist, weil er das Nutzervertrauen untergräbt, und weil dadurch die Information über eine Sicherheitslücke irgendwo bekannt geworden ist und weiter missbraucht werden kann (solange man es nicht schafft, sie zu schließen).
Es kann hier also nur darum gehen, Wahrscheinlichkeiten abzuschätzen. Wie stark erhöht sich das Risiko eines Hacks, wenn man die Finalkoordinaten speichert, und wie groß ist die Wahrscheinlichkeit, dass Sicherheitslücken vorhanden sind? Das sind beides Fragen die alles andere als trivial sind, und die letztere ist nur mit einer sehr Detaillierten Kenntnis der Software zu beantworten, die niemand der hier mitdiskutierenden hat.
Es kann hier also nur darum gehen, Wahrscheinlichkeiten abzuschätzen. Wie stark erhöht sich das Risiko eines Hacks, wenn man die Finalkoordinaten speichert, und wie groß ist die Wahrscheinlichkeit, dass Sicherheitslücken vorhanden sind? Das sind beides Fragen die alles andere als trivial sind, und die letztere ist nur mit einer sehr Detaillierten Kenntnis der Software zu beantworten, die niemand der hier mitdiskutierenden hat.