Sicherheit: Flashspiel -> Highscore Liste
-
TGGC-Fan schrieb:
Frag doch mal TGGC der hat doch schon einige Minigames mit Online-Highscore geschrieben.
Hab ich doch schon gehackt.
http://www.c-plusplus.net/forum/viewtopic-var-p-is-966170.html#966170Shade Of Mine schrieb:
@volkard:
die Idee mit highscores auf mehrere arten zu zaehlen gefaellt mir.verspaetetes loeschen muss ich mal abklaeren ob das zulaessig ist, aber generell waere das natuerlich sehr nice wenn der hacker seinen highscore wirklich sieht und immer ne halbe stunde warten muss oder so bis er weiss ob er erfolg hatte...
Ja, eigentlich kannst du es nur kompliziert machen, aber du darfst halt keine Schwachstelle haben wo man nur ein bisschen eingreifen muss und schon ist es gehackt (siehe mein Hack oben).
Ganz sicher geht nicht, vorallem bei dekompilierbarem Code. Ich hab auch schon mal überlegt, wie man sowas unknackbar machen kann, bin aber zu keinem Ergebniss gekommen, also findet auch kein anderer eine Lösung. :p
-
Shade Of Mine schrieb:
sitzungsschlüssel schrieb:
spielstart: der client fordert eine session id vom server an. der server merkt sich, wann er die session gestartet hat.
Geht nicht, da der Angreifer sich dann ja selber beliebig Sitzungsschluessel besorgen kann
das stimmt natürlich. aber du kannst die plausibilität der punktzahl prüfen. und wenn man nur plausible highscores eintragen kann, wirds für ein scriptkiddy schnell langweilig.
-
die sache ist ganz einfach, den ganzen input aufzeichnen und mit an den server schicken, dann simuliert der server das einmal kurz durch und errechnet selbst den highscore
dass sich niemand ein cheat toll schreibt (z.b. pc zeit verlangsamt um schneller reagieren zu koennen) kannst du eh nicht garantieren.
-
rapso schrieb:
die sache ist ganz einfach, den ganzen input aufzeichnen und mit an den server schicken, dann simuliert der server das einmal kurz durch und errechnet selbst den highscore
Danke.
Genau das haben wir jetzt implementiert und dazu ein Ticket System, dass man auch wirklich immer die PHP Seite aufrufen muss auf der das Flash Spiel ausgeliefert wird.
Bin gespannt welche Resultate das bringt. Haette naemlich nie gedacht was die Leute bei so dummen Flash Spielen fuer Aufwand zu knacken rein stecken...
-
Shade Of Mine schrieb:
Bin gespannt welche Resultate das bringt. Haette naemlich nie gedacht was die Leute bei so dummen Flash Spielen fuer Aufwand zu knacken rein stecken...
Wieso nicht? Gibt doch auf der anderen Seite auch genug Kontrollfreaks, die viel Aufwand bei so dummen Flash Spielen reinstecken.
-
GNU-Fan schrieb:
Shade Of Mine schrieb:
Bin gespannt welche Resultate das bringt. Haette naemlich nie gedacht was die Leute bei so dummen Flash Spielen fuer Aufwand zu knacken rein stecken...
Wieso nicht?
weil das ziel eines spieles spass sein sollte und nicht betruegen, denn so schaffen es einige wenige der massen diesen zu nehmen.
@Shade Of Mine
ich hoffe auf einen bericht
-
Naja, es gibt ja immer wege es auszuhebeln.
Bei TGGCs super geschütztem Mars Lander (als Beispiel) kann man ja z.B einfach nen Bot schreiben, der alle möglichen Zeitpunkte zum Bremsen ausprobiert und den besten dann automatisch ermittelt.
Also wenn du schon was gegen das Cheaten der Ergebnisse tun willst, solltest du dir auch was gegen Bots ausdenken.
(Wenn das Spiel wirklich erfolgreich wird, wird es auch bald Bots geben die es automatisch spielen (wie in Diablo2 WoW, diverse Shooter, Autorennen etc.) und besser sind als jeder Mensch, insbesondere wenn es auf schnelle Reaktionen ankommt.
-
MisterX schrieb:
Naja, es gibt ja immer wege es auszuhebeln.
Bei TGGCs super geschütztem Mars Lander (als Beispiel) kann man ja z.B einfach nen Bot schreiben, der alle möglichen Zeitpunkte zum Bremsen ausprobiert und den besten dann automatisch ermittelt.
Also wenn du schon was gegen das Cheaten der Ergebnisse tun willst, solltest du dir auch was gegen Bots ausdenken.
(Wenn das Spiel wirklich erfolgreich wird, wird es auch bald Bots geben die es automatisch spielen (wie in Diablo2 WoW, diverse Shooter, Autorennen etc.) und besser sind als jeder Mensch, insbesondere wenn es auf schnelle Reaktionen ankommt.Ich halte das Problem der Bots im Moment bei Spilen sogar für schlimmer als das "normale" cheaten. Weil:
1. Es ist deutlich schwerer zu erkenen
2. Es ist deutlich schwerer was dagegen zu tun
3. Es frustriert normale meschliche Spieler mehr von nem Bot in den Highscores verdrängt zu werden, als von einem offensichtlichen cheat.
(Wenn alle in nem bestimmten Spiel 1-200 Punkte haben und einer hat 99999999 ist das als Cheat sofort zu erkennen. Ob die, die 200 Punkte haben nen Bot eingeetzt haben ist nicht so leicht zu erkennen)
-
Die normalen Spieler spielen halt normal und die Hacker spielen halt anderes und nen Bot zu schreiben kann ja auch ganz interessant sein.
-
hehehe schrieb:
Die normalen Spieler spielen halt normal und die Hacker spielen halt anderes und nen Bot zu schreiben kann ja auch ganz interessant sein.
das sehen die meisten anders. sie sehen im exploiter nur den cheater mit kleinem penis und niederen beweggründen.
ich habe z. b. in mmorpgs nach einer weile auch immer mehr spaß daran exploits zu suchen als das eigentlich spiel zu spielen. der vorteil den ich dabei eventuell gegenüber anderen spielern erlange, ist nebensächlich. es geht nicht ums gewinnen, es geht ums können.
wie viel mehr gehirnschmalz und skill muss man auf aufbringen, um ein spiel um eine million goldstücke zu betrügen, als sie sich wie jeder andere mühsam zusammen zu ergrinden? das ist der reiz daran.das manipulieren des highscores in shade of mines kleinem spielchen war bis jetzt völlig uninteressant (außer vielleicht für dumme scriptkiddies). jetzt nicht mehr, wo er versucht schlauer zu sein als der cheater.
-
exploiter schrieb:
das manipulieren des highscores in shade of mines kleinem spielchen war bis jetzt völlig uninteressant (außer vielleicht für dumme scriptkiddies). jetzt nicht mehr, wo er versucht schlauer zu sein als der cheater.
es war aber auch uninterresant ein paar hundert scriptkiddies anzugehen. wenn jetzt jemand viel muehe investiert, lohnt sich auch eine anzeige gegen diese person aufzusetzen.
-
rapso schrieb:
exploiter schrieb:
das manipulieren des highscores in shade of mines kleinem spielchen war bis jetzt völlig uninteressant (außer vielleicht für dumme scriptkiddies). jetzt nicht mehr, wo er versucht schlauer zu sein als der cheater.
es war aber auch uninterresant ein paar hundert scriptkiddies anzugehen. wenn jetzt jemand viel muehe investiert, lohnt sich auch eine anzeige gegen diese person aufzusetzen.
Wegen was kann man da jemanden anzeigen? Kann man dann auch jemend anzeigen, wenn er beim Monopoly bescheißt?
-
rapso schrieb:
wenn jetzt jemand viel muehe investiert, lohnt sich auch eine anzeige gegen diese person aufzusetzen.
ach mach dich doch nicht lächerlich.
-
????????? schrieb:
Wegen was kann man da jemanden anzeigen?
vielleicht will er auf computersabotage oder so hinaus.
er kann es ja mal versuchen ("der da hat beim spielen geschummelt!!!11elf!"). die polizei lacht ihn sowieso nur aus, wegen sowas wird doch nicht ermittelt.fragt sich nur, wer den wirklichen schaden anrichtet: der cheater mit seinen harmlosen versuchen oder der, der die zeit der ermittlungsbehörden und damit steuergelder verschwendet.
-
GNU-Fan schrieb:
Wieso nicht? Gibt doch auf der anderen Seite auch genug Kontrollfreaks, die viel Aufwand bei so dummen Flash Spielen reinstecken.
Das Problem ist halt, dass du in Erklaerungsnoeten dem Kunden gegenueber kommst.
[edit]Denn du musst dem Kunden dann jedesmal hoch und heilig versprechen dass die Userdaten nicht kompromittiert wurden... und ich fuerchte irgendwann wird einem nicht mehr geglaubt... und von technik ahnung hat der kunde ja sowieso nicht[/edit]@exploiter:
Wenn sich dafuer nur 2 Leute hinsetzen und betruegen, dann ist das nicht so tragisch. Wenn es dagegen 1000 Leute tun, dann stehe ich vor dem Kunden doof da.Das Problem ist doch: der Anreiz zu Cheaten ist immer da - und wenn es trivial ist, dann setzt du dich vielleicht nur 20min hin - wenn es komliziert ist mehrere Tage. Nur vorher weisst du nicht wie gross der Aufwand ist - wieso sollte der also abschrecken?
-
Shade Of Mine schrieb:
Wenn sich dafuer nur 2 Leute hinsetzen und betruegen, dann ist das nicht so tragisch. Wenn es dagegen 1000 Leute tun, dann stehe ich vor dem Kunden doof da.
verständlich. spricht ja auch nichts dagegen, sich ein vernünftiges sicherheitskonzept einfallen zu lassen - und die eingaben nachzuspielen ist doch klasse. damit sperrst du die meisten betrüger effektiv aus. wenn es aber wirklich einer auf dieses spiel abgesehen hat, für den ist es jetzt vielleicht eine frage der ehre zu beweisen, dass er besser ist als du
das kann man doch ruhig mal sportlich sehen, wenn sonst kein schaden angerichtet wird.
-
exploiter schrieb:
rapso schrieb:
wenn jetzt jemand viel muehe investiert, lohnt sich auch eine anzeige gegen diese person aufzusetzen.
ach mach dich doch nicht lächerlich.
Das ist überhaupt nicht lächerlich. Genau dafür haben wir die Vorratsdatenspeicherung, um solchen Flash-Terroristen das Handwerk zu legen. Der internationale Flash-Terror stellt im Moment die größe Bedrohung für die Menschheit dar, knapp gefolgt von Killerspielen.
Shade Of Mine schrieb:
Das Problem ist doch: der Anreiz zu Cheaten ist immer da - und wenn es trivial ist, dann setzt du dich vielleicht nur 20min hin - wenn es komliziert ist mehrere Tage. Nur vorher weisst du nicht wie gross der Aufwand ist - wieso sollte der also abschrecken?
Hast du auch daran gedacht, dass man den selben Input zweimal zum Server schicken kann? Wäre ne Sache von 5 Min um sich so zweimal in die Highscore einzutragen.
-
exploiter schrieb:
das kann man doch ruhig mal sportlich sehen, wenn sonst kein schaden angerichtet wird.
Nur es wird Schaden angerichtet. Aber ich erwarte nicht dass jemand wie du das versteht.
@Schäuble:
das wuerde nicht funktionieren.
-
Nur es wird Schaden angerichtet.
wenn das wirklich so ist, müsste ja von vornherein ein sicherheitskonzept da gewesen sein. war es aber nicht, und das zeugt von inkompetenz und ignoranz.
und nur weil es dir und deinem kunden gegen den strich geht, dass jemand ein paar erschummelte zahlen in die highscoreliste von eurem kleinen spielchen schreibt, entsteht noch lange kein schaden.
Shade Of Mine schrieb:
Aber ich erwarte nicht dass jemand wie du das versteht.
genau so wenig erwarte ich sportlichkeit von einem engstirnigen schubladendenker wie dir.
-
Aber sicher doch