|
›› Willkommen! ›› 101.320.576 Visits ›› 18.316 registrierte User ›› 18 Besucher online (0 auf dieser Seite)
|
|
|
Steam Vertrauensbruch: Bann für Entwickler
17.06.2014 | 20:21 Uhr | von Trineas
|
9.538 Hits
34 Kommentare 1 viewing
|
|
Wer schon einmal im offiziellen Steam-Forum gepostet hat wird wissen, dass man dort, wie etwa auch auf dem Half-Life Portal und vielen anderen Seiten, so genannte BB-Tags verwenden kann, um seinen Text zu formatieren. Für Ankündigungen in den Spiele-Hubs stand den Entwicklern bisher allerdings auch HTML zur Verfügung, was höhere Komplexität aber theoretisch auch Missbrauch erlaubt. Das gefiel einem Entwickler von Euro Truck Simulator 2 mit dem Steam-Nickname timmy_cz gar nicht und er meldete es Valve als einen Bug. Dem Vernehmen nach erklärte Valve allerdings, dass man es nicht als Gefahr betrachte und man Entwicklern vertraut, es nicht zu missbrauchen.
Das schmeckte ihm aber nicht und um zu beweisen, dass man Entwicklern nicht vertrauen kann, erstellte er ein kleines HTML-Script, das Elemente der offiziellen Steam-Seite wackeln ließ, während die "Harlem Shake"-Musik im Hintergrund abgespielt wurde. Valve reagierte darauf mit zwei Schritten: Erstens wurde Entwicklern nun die Möglichkeit genommen weiterhin HTML zu verwenden. Ankündigungen müssen nun mit BB-Code formatiert werden, was allerdings einige Nachteile hat. Ein Entwickler beklagte sich etwa, dass er nun nicht mehr direkt den Code von der eigenen Seite auf Steam übernehmen kann. Und zweitens erhielt timmy_cz einen einjährigen Steam-Community-Bann. Damit kann er zwar weiterhin auf seine Spiele zugreifen, allerdings nicht mehr die Community-Features wie Foren oder den Market nutzen.
Valve arbeitet seit einigen Jahren daran, Steam als offene Plattform zu etablieren und sieht dabei Entwickler von anderen Spielen als gleichberechtigte Partner mit entsprechenden Rechten und Pflichten.
|
Was mich am meisten an der Sache nervt, ist, dass zur Zeit nur eine Version der Story im Internet herumgeistert, nämlich die von timmy_cz selbst. Und sich alle Leute darauf basierend eine Meinung bilden, nämlich dass Valve zu unrecht gehandelt hat. Warum?
Weil dieser davon spricht, dass er Sicherheitslücke aufgedeckt hätte und man ihm eigentlich dankbar sein müsste dafür. In Wahrheit hat er nur einfach das Vertrauen von Valve missbraucht und dafür gesorgt, dass andere Entwickler nun kein HTML mehr nutzen können. Und da Valve sich zu so etwas nie öffentlich äußerst, wird nun ausschließlich seine Version der Geschichte verbreitet.
Ein Kommentar den ich dazu gelesen hab und der das schön auf den Punkt bringt: "Mann, ich hab dir immer und immer wieder gesagt, dass du deine Eingangstüre nicht offen lassen darfst. Ich dachte wenn ich reingehe und all deine Sachen stehle, lernst du endlich deine Lektion. Was soll das heißen "verhaftet"?"
|
|
17.06.2014, 20:24 Uhr |
|
|
Ich finds wiedersprüchlich in sich.
Ich mein, es war ansich ja keine Sicherheitslücke sondern Absicht von valve, logisch kann man da viel scheiße mit machen, aber Valve vertraut nun mal.
Nun kommt der ich sags wirklich mal "Idiot" daher, er weiß ganz genau das Valve ihm vertraut und macht son scheiß trotzdem. War zwar nix böses und auch nicht böse gemeint, aber streng genommen hat ers Vertrauen missbraucht und wurde bestraft.
Natürlich jetzt blöde, das dank dem kleinen (sorry again) Pisser nun alle anderen drann glauben müssen.
|
|
17.06.2014, 20:44 Uhr |
|
|
Ich habe auf GameStar die News zuerst gelesen.
Da dachte ich mir auch, dass es wahrscheinlich nur die eine Seite der Gesichte sein wird.
Btw: Auf GameStar hieß es, dass nicht nur die Community-Features im Bann einbezogen sind, sondern auch Entwickler-Tools??
|
|
17.06.2014, 21:03 Uhr |
|
|
Kyle07, ja er hatte sein SteamWorks Access entfernt bekommen, bei SCS arbeitet er anscheinend Hauptsächlich an der Steam Integration ihrer Spiele.
Dies geschah wahrscheinlich damit er seine Ankündigung nicht mehr Editieren kann, bzw. konnte als er es versuchte.
Er konnte sich einloggen auf der Partnerseite, aber es stand da Unaffiliated:
https://dl.dropboxusercontent.com/u/12898921/ss/2014-06/16.EIAesX.png
|
|
17.06.2014, 21:07 Uhr |
|
|
Ich muss timmy_cz Recht geben: es ist eine Sicherheitslücke (wenn auch nicht eine super kritische, aber es ist eine). HTML verwenden schön und gut, da hat ja auch niemand was dagegen. Dass Valve allerdings Script-Tags (ganz ehrlich: wozu braucht ein Eintwickler in einer Ankündigung JavaScript?) zulässt geht in meinen Augen gar nicht.
Was wäre theoretisch möglich: irgendwer kommt auf welchem Wege auch immer an die Account-Daten eines Entwicklers. Nun muss er nur noch eine Ankündigung schreiben mit einer reißerischen Überschrift, auf den viele Nutzer klicken.
Nun kann er:
- Ein verseuchtes Flash-Objekt laden
- Den Nutzer auf eine verseuchte Seite weiterleiten
- Dem Nutzer die Steam-Login Seite vorgaukeln (ohne, dass eine andere Seite geladen werden müsste!), er solle doch bitte mal seine Login-Daten eingeben. Der gewöhnliche Nutzer würde das vielleicht hinterfragen, aber viele würden sie dennoch eingeben. (Ich weiß, es gibt immer noch Steam Guard, aber da es bestimmt Leute gibt, die ihre Logindaten auch auf anderen Seiten verwenden war es dennoch ein Gewinn für den Angreifer)
- ...?
Und aus oben genannten Fall sollte Valve zumindest alle Möglichkeiten von XSS Attacken entfernen und nicht den Entwicklern freie Fahrt lassen.
Und der Community-Ban ist meiner Meinung nach nicht gerechtfertigt, da er das System nicht missbraucht hat, um Schaden anzurichten, sondern um öffentlich auf ein Problem hinzuweisen.
Als Extrem-Beispiel: Edward Snowden hat auch Lücken im Sichherheitskonzept der NSA missbraucht, um die Öffentlichkeit auf Missstände hinzuweisen, nicht um die Infos teuer an den FSB zu verkaufen. Ist der Versuch der USA, ihn mundtot zu machen, gerechtfertigt?
|
|
17.06.2014, 21:14 Uhr |
|
|
Schließe mich da MatorKaleen an. Javascript zuzulassen ist einfach eine schlechte Idee und wird irgendwann von jemandem ausgenutzt. Valve könnte einfach eine Teilmenge HTML zulassen und das Problem wäre vom Tisch.
Gibt es eigentlich eine offizielle Begründung für den Bann (bzw. die Regel gegen die verstoßen wurde)?
|
|
17.06.2014, 22:50 Uhr |
|
|
Zitat: Original von Trineas Was mich am meisten an der Sache nervt, ist, dass zur Zeit nur eine Version der Story im Internet herumgeistert, nämlich die von timmy_cz selbst. Und sich alle Leute darauf basierend eine Meinung bilden, nämlich dass Valve zu unrecht gehandelt hat. Warum?
| Ist auch so, dem "Kill the messenger" führt halt zu nichts.
Zitat: Original von Trineas Weil dieser davon spricht, dass er Sicherheitslücke aufgedeckt hätte und man ihm eigentlich dankbar sein müsste dafür. In Wahrheit hat er nur einfach das Vertrauen von Valve missbraucht und dafür gesorgt, dass andere Entwickler nun kein HTML mehr nutzen können. Und da Valve sich zu so etwas nie öffentlich äußerst, wird nun ausschließlich seine Version der Geschichte verbreitet.
| Dann soll Valve sich dazu äußern, Problem gelöst. Aber nicht auf Ignoranten spielen, es ist nunmal eine Sicherheitslücke gewesen. Denn HTML ist zur Gestaltung da, nicht um fremde Skripte einzubinden.
|
|
17.06.2014, 22:55 Uhr |
|
|
Zitat: Original von fsp [...]
Dann soll Valve sich dazu äußern, Problem gelöst. Aber nicht auf Ignoranten spielen, es ist nunmal eine Sicherheitslücke gewesen. Denn HTML ist zur Gestaltung da, nicht um fremde Skripte einzubinden.
| Was willst du denn von Valve hören? Sie haben das "Problem" beseitigt und fertig.
|
|
17.06.2014, 23:03 Uhr |
|
|
Noch was:
Wenn ich einem Geschäftspartner eine Funktionalität auf meiner Plattform bereitstelle (in dem Fall HTML-Text), dann erwarte ich von ihm, dass er es für den dafür vorgesehenen Zweck vernünftig einsetzt und nicht für Unfug missbraucht. Ansonsten ist er die längste Zeit ein "Partner" gewesen. Wir reden hier nicht von irgendwelchen Usern, sondern von jemandem der sein Produkt auf "meiner" Plattform vertreiben möchte. Da geht er Rechte und Pflichten ein. Und dazu gehört auch, das System (für welchen Unsinn auch immer) nicht zu missbrauchen.
Den Plattformbetreiber (wie lange vorher auch immer) aber auf ein Problem aufmerksam zu machen (sofern das überhaupt der Fall war), und dann eben genau dieses Problem selbst auszunützen und den Betreiber damit bloß zu stellen, ist einfach nur frech.
|
|
17.06.2014, 23:17 Uhr |
|
|
Zitat: Original von fsp Dann soll Valve sich dazu äußern, Problem gelöst. Aber nicht auf Ignoranten spielen, es ist nunmal eine Sicherheitslücke gewesen. Denn HTML ist zur Gestaltung da, nicht um fremde Skripte einzubinden.
| Es ist keine Sicherheitslücke gewesen. Wenn man den Entwicklern nicht trauen kann, dass sie ein Tool nicht missbrauchen, dann dürften sie ja überhaupt nichts über Steam veröffentlichen. Darüber könnten sie Viren und Malware verbreiten, viel schlimmere Dinge als sie jemals mit HTML anstellen könnten.
|
|
17.06.2014, 23:21 Uhr |
|
|
Zitat: Original von Trineas Es ist keine Sicherheitslücke gewesen. Wenn man den Entwicklern nicht trauen kann, dass sie ein Tool nicht missbrauchen, dann dürften sie ja überhaupt nichts über Steam veröffentlichen. Darüber könnten sie Viren und Malware verbreiten, viel schlimmere Dinge als sie jemals mit HTML anstellen könnten.
| Das Spiel hat nicht jeder, HTML versteht aber jeder Browser. Das ist mengenmäßig nicht vergleichbar.
Zitat: Original von King2500 Was willst du denn von Valve hören? Sie haben das "Problem" beseitigt und fertig.
| Naja weil kritisiert wurde das nur eine Sichtweise vorhanden ist. Dann sollte eben von Valve eine zweite kommen, dann wär das Problem auch gelöst.
|
|
18.06.2014, 00:48 Uhr |
|
|
Zitat: Original von Trineas Zitat: Original von fsp Dann soll Valve sich dazu äußern, Problem gelöst. Aber nicht auf Ignoranten spielen, es ist nunmal eine Sicherheitslücke gewesen. Denn HTML ist zur Gestaltung da, nicht um fremde Skripte einzubinden.
| Es ist keine Sicherheitslücke gewesen. Wenn man den Entwicklern nicht trauen kann, dass sie ein Tool nicht missbrauchen, dann dürften sie ja überhaupt nichts über Steam veröffentlichen. Darüber könnten sie Viren und Malware verbreiten, viel schlimmere Dinge als sie jemals mit HTML anstellen könnten.
| HTML ist schon Okay. Javascript - wenn das wirklich erlaubt war - nicht. Cross-Site-Scriping ist böse. Persistentes Cross-Site-Scripting ist wirklich übel. Hast du von dem "selbst-retweetenden" Tweet gehört? Das war persistentes XSS.
Damit kann man alles mögliche anstellen. Session-Cookies klauen, Aktionen im Browser durchführen, Downloads anstoßen, Dinge in den Local Storage vom Browser schreiben, content (z.b. weitere Scripts) nachladen, Requests absetzen, etc. ... und nicht jeder hat NoScript. Da die Foren auch über Steam zugängig sind UND Steam mehr oder minder ein Browser ist, kann man mit XSS in Foren-Posts bzw. Announcements sehr, sehr viel schaden anrichten, wenn man weiß was man tut.
XSS ist in jedem verdammten Fall zu vermeiden. Traue niemandem.
Edit: Es ist außerdem leichter für Valve die hochgeladenen Spiele-Dateien auf Viren zu prüfen als alle Forenposts auf XSS.
|
|
18.06.2014, 05:27 Uhr |
|
|
Zitat: Original von Trineas Es ist keine Sicherheitslücke gewesen. Wenn man den Entwicklern nicht trauen kann, dass sie ein Tool nicht missbrauchen, dann dürften sie ja überhaupt nichts über Steam veröffentlichen. Darüber könnten sie Viren und Malware verbreiten, viel schlimmere Dinge als sie jemals mit HTML anstellen könnten.
| Es ist eben schon eine Sicherheitslücke gewesen. EIne Zeit lang war es möglich, über JavaScript Facebook-Seiten zu liken. So etwas würde Valve nicht mitkriegen und die Spielefirma freut sich über Likes.
Und da es anscheinend nicht so schwer ist, sein "Spiel" in den Store zu bringen, ist dies durchaus für andere Angreifer ein interessantes Ziel. StringEpsilon hat ja noch ein paar Beispiele genannt (an Session-Klau hab ich gar nicht gedacht, danke dafür).
Wenn ich Steam verwende, dann vertraue ich darauf, dass Valve die Plattform sicher hält. Dieses Gefühl wurde mir unter anderem auch dadurch gegeben, dass sie bisher alle Sicherheitsprobleme offen diskutiert haben und nicht versucht haben, unter den Tisch zu kehren. Und ich sehe XSS als kritische Sicherheitslücke und bin deshalb sehr glücklich, dass das behoben wurde.
|
|
18.06.2014, 06:33 Uhr |
|
|
Natürlich ist das eine Sicherheitslücke. Sorry Trineas aber du beweist mal wieder optimal, dass du Valve über voreingenommen bist. Nehm ich dir nicht übel, sicher nicht, die News ist neutral und korrekt gehalten und deine Meinung packst du in die Kommentare, wo sie hingehören. Richtig so. Ändert aber nichts daran, dass dies eine Lücke war. Klar kann man von seinen Partner verlangen, dass sie sich an die Regeln halten. Allerdings tun das nicht alle. Es wurden ja schließlich auch schon Spiele von Valve entfernt, weil diese falsch beworben wurde. Außerdem kann ja auch ein Entwickler-Account gehackt werden und diese Seite somit unfreiwillig (und unbemerkt) geändert werden. Timmy ist nicht der Grund, wieso Entwickler aktuell kein HTML mehr nutzen dürfen/können, sondern Valve. Er hat lediglich darauf hingewiesen, dass die Funktion missbraucht werden kann. Da Valve wohl - sofern seine Story stimmt - nicht hören wollte. Selbst, wenn die Version von ihm falsch ist, dann zeigt es eben, dass die Funktion eben DOCH missbraucht werden konnte und somit eine Sicherheitslücke war. Der Ban wird nach den medialen Druck sicher nicht in dieser Form bestehen bleiben. Kann ich mir nicht vorstellen.
|
|
18.06.2014, 09:21 Uhr |
|
|
Zitat: Original von FireStar Der Ban wird nach den medialen Druck sicher nicht in dieser Form bestehen bleiben. Kann ich mir nicht vorstellen.
| Sieht so aus als ob du Recht hast.
http://istimmystillbanned.info/
Ob das nun stimmt weiss ich aber nicht
|
|
18.06.2014, 09:47 Uhr |
|
|
|
18.06.2014, 12:08 Uhr |
|
|
Zitat: Original von Trineas Es ist keine Sicherheitslücke gewesen. Wenn man den Entwicklern nicht trauen kann, dass sie ein Tool nicht missbrauchen, dann dürften sie ja überhaupt nichts über Steam veröffentlichen. Darüber könnten sie Viren und Malware verbreiten, viel schlimmere Dinge als sie jemals mit HTML anstellen könnten.
| Nachtrag: Wenn es keine Sicherheitslücke ist, warum wurde die Funktion dann entfernt?
|
|
18.06.2014, 14:12 Uhr |
|
|
Zitat: Original von fsp Zitat: Original von Trineas Es ist keine Sicherheitslücke gewesen. Wenn man den Entwicklern nicht trauen kann, dass sie ein Tool nicht missbrauchen, dann dürften sie ja überhaupt nichts über Steam veröffentlichen. Darüber könnten sie Viren und Malware verbreiten, viel schlimmere Dinge als sie jemals mit HTML anstellen könnten.
| Nachtrag: Wenn es keine Sicherheitslücke ist, warum wurde die Funktion dann entfernt?
| Weil sie vielleicht nach diesem Vorfall doch zu dem Schluss gekommen sind, dass es naiv war den Entwicklern diese Freiheiten einzuräumen?
Das macht HTML aber deswegen nicht automatisch zur Sicherheitslücke. Genauswenig wie Java oder C keine Sicherheitslücken sind, nur weil man damit theoretisch Schadcode programmieren könnte.
|
|
18.06.2014, 17:08 Uhr |
|
|
@Trineas, das hat nichts mit Vertrauen zu tun. Schlichtweg: es ist eine Sicherheitslücke. Wer Userinput nicht vernünftig validiert, wird immer mit diesen Problem zu kämpfen haben. Genauso könnte man durch einen Bug im BB-Code-Parser html/javascript mit einschleusen. Das jetzt html verwendet worden ist, ändert nichts an der Tatsache, dass die keine vernünftige Validierung der Eingaben machen.
@King2500: Das spielt keine Rolle ob man Geschäftspartner ist oder nicht. Ansonsten könnte sich z.B. Ebay auch nur auf die AGB berufen. Sie arbeiten aber aktiv daran, dass z.B. Cross-Site-Scripting unterbunden wird.
@all: Vielen scheint die Tragweite gar nicht so bekannt zu sein. Wenn man es geschickt anstellt, würde man auch an Kreditkartennummern kommen. Es reicht dann aus, wenn einer den Beitrag im Forum liest und dann ein Spiel kauft ohne vorher das Fenster zu schließen. Das Javascript kann das Opfer dann z.B. auf eine vorbereitete Seite umleiten um dann später die Daten abzugreifen. Letztendlich geht es darum alle zu schützen und da bilden die Entwickler keine Ausnahme. Generell geht man davon aus, dass jeder im Internet böse Absichten hat und so hat man auch gefälligst zu programmieren. Alles Andere ist zum Scheitern verurteilt.
Wer mal mit jQuery gearbeitet hat, weiß wie einfach es ist Elemente auf der Seite auszutauschen (sogar mit Kompatibilität für fast alle Browser). Die Möglichkeiten sind echt beängstigend.
|
|
18.06.2014, 17:08 Uhr |
|
|
Zitat: Original von DeaD_EyE @Trineas, das hat nichts mit Vertrauen zu tun. Schlichtweg: es ist eine Sicherheitslücke. Wer Userinput nicht vernünftig validiert, wird immer mit diesen Problem zu kämpfen haben. Genauso könnte man durch einen Bug im BB-Code-Parser html/javascript mit einschleusen. Das jetzt html verwendet worden ist, ändert nichts an der Tatsache, dass die keine vernünftige Validierung der Eingaben machen.
| Fehlende Validierung = Sicherheitslücke??
Das ist so nicht richtig!
Eine Sicherheitslücke ist immer ein Fehler in einer Software.
Der einzige Fehler hier war wohl eher zu viel Vertrauen.
|
|
18.06.2014, 17:19 Uhr |
|
Du musst dich einloggen, um Kommentare schreiben zu können Du hast nicht die erforderlichen Rechte einen Kommentar zu schreiben. Solltest du eine Account-Strafe haben, findest du nähere Informationen in deinem Profil unter Verwarnungen.
|
|
|
|