Login
Spiele
Community

Admin's Log

admin, dev, endyr, news, spirits, ss3, starly, yaecron, yardo, ycom
Ycom | (nicht eingeloggt) | Forenübersicht Link zu dieser Seite

» Navigation


» Eigenschaften


Sprache: Deutsch
Eröffnet: 25.10.2010
Von: Yhoko
Teilnehmer: 1
Beobachter: 72
Beiträge: 473
Wörter: ~16'449
Gewicht: 24%

» Tags


admin
dev
endyr
news
spirits
ss3
starly
yaecron
yardo
ycom

» Beiträge - Seite 4 von 48



Yhoko
02.11.2010, 03:29 von Yhoko: Nr. 31
  • YTML-Bugfix für mehrere aufeinanderfolgende Sternchen ;-)

Yhoko
02.11.2010, 17:05 von Yhoko: Nr. 32
  • Grippe überstanden (bis auf vereinzelte Nachwirkungen)
  • [Wiki] Rubinrunde-Bibliothek aktualisiert - Rollenspieler, werft einen Blick rein :-)
  • Kleiner YTML-Bugfix zum Rubinrunde-Wiki (Wikis behandeln Links speziell und müssen jeweils separat berücksichtigt werden...)

Yhoko
02.11.2010, 23:49 von Yhoko: Nr. 33
  • Vorschaufunktion implementiert

Yhoko
03.11.2010, 03:54 von Yhoko: Nr. 34
  • Weitere Übersetzungsfunktionen, fehlen nur noch die Missionen und Events, dann sind wir mit dem Sternchenspiel durch.

Yhoko
03.11.2010, 18:10 von Yhoko: Nr. 35
  • Heute: Ärger mit Linux und VNC

Yhoko
03.11.2010, 18:47 von Yhoko: Nr. 36
  • Umbau der Hilfe im RPG-Bereich

Yhoko
04.11.2010, 00:17 von Yhoko: Nr. 37
  • Missionen sind nun übersetzbar, fehlen noch die Events... der letzte grosse Brocken.

Yhoko
04.11.2010, 04:02 von Yhoko: Nr. 38
  • Sprachflaggen für direkte Umschaltung implementiert :-)
  • Die Events sind ebenfalls drin, jetzt muss nur noch übersetzt werden.

Yhoko
04.11.2010, 19:17 von Yhoko: Nr. 39
Plöt.

Die Entwicklung stand heute ganz im Zeichen der "Firesheep" Extension für Firefox. Wers nicht kennt, sollte sich schleunigst informieren, denn mit dieser Extension kann man ganz bequem über WLAN fremde Sitzungen (z.B. Facebook, Yahoo, generell Webmail) sammeln und sich dann als diese Leute einloggen. Der Entwickler wollte damit auf das massive Sicherheitsleck hinweisend (die Session-ID bleibt meist unverschlüsselt, selbst wenn der Login via SSL erfolgt). Da man dem Tool auch eigene Seiten beibringen kann, ist Yhoko.com genauso betroffen wie alle anderen Spiele und Seiten, die einen Login erfordern und mit Sessions arbeiten (also quasi alle).

Problem bei der Sache ist: So ein SSL Zertifikat kostet Geld (10-20 Euro im Jahr) und muss jährlich erneuert werden. Okay, das wär nicht so schlimm, aber aufgrund seiner Natur braucht man für jede Subdomain ein eigenes Zertifikat. Yhoko.com hat Dutzende dieser Subdomains und jetzt mit der Spracherweiterung werden es nochmal doppelt so viele (allein schon starly.yhoko.net und de.starly.yhoko.net und en.starly.yhoko.net zählen separat, und das Ganze nochmal für www.yhoko.net selbst und nochmal die ganze Geschichte für die .com Adressen). Das können wir uns schlichtweg nicht leisten und da alles zusammenhängt, bringt es nichts, nur die Hauptadresse abzusichern.

Freilich kann man ein Zertifikat auch selbst unterschreiben, aber das bringt ebenfalls nicht viel. Warum? Wegen der Browser-Warnung; seht selbst:

Im Augenblick suche ich nach einer praktikablen Lösung und halte euch auf dem Laufenden. Lästig sowas.

Yhoko
04.11.2010, 20:55 von Yhoko: Nr. 40
Nachtrag:

Zum Thema Zertifikat: Anscheinend kann man "shared SSL" Zertifikate bestellen, die dann für *.yhoko.com bzw. *.yhoko.net gültig sind, wenn das wirklich klappt wäre das eine brauchbare Option.

Zum Thema Firesheep: Ich hab das Tool nun selbst getestet und konnte bestätigen, dass Yhoko.com und Yhoko.net anfällig sind. Es ist erschreckend, wie einfach das funktioniert: Einfach warten, bis jemand eine Seite aufruft und schon taucht der Login auf - per Doppelklick ist man dann als derjenige auf der Seite. Voreingestellt sind etwa 30 Seiten, aber es hat nur ein paar Sekunden gedauert, auch einen Eintrag für meine Seiten hinzuzufügen.

Entwarnung gibt es nur für Yuser, die per Kabel direkt am Modem bzw. Router sitzen (technisch: deren Paketen nicht abgehört werden können). Völlig ungeschützt ist man dagegen im Funknetz, die Pakete schwirren da frei durch die Luft und können von jedem abgehört werden, der in der Nähe sitzt.

Das bedeutet, quasi alle Schulen, Hotels, Bahnhöfe und sonstigen "öffentlichen" Netze sind im Moment höchst unsicher, ich empfehle dringend an solchen Orten keinerlei Webseiten aufzurufen, bei denen ihr einen Account registriert habt. Wohlgemerkt, Firesheep ist nicht auf einen Login angewiesen, es reicht völlig, wenn ihr bereits eingeloggt seid und irgendeinen Link anklickt!

Die Situation ist wirklich brenzlig und man darf gespannt sein, wie sich das nun entwickelt.

Yhoko

Ycom | (nicht eingeloggt) | Forenübersicht Link zu dieser Seite