Humble Bundle mit Account besser?



  • Auf der Humble Bundle Webseite kann man seit einiger Zeit ja auch einen Account anlegen und die bisherigen Bundles, Weekly Sales usw. die man bisher gekauft hat,
    dort für den Account claimen, also an diesen binden.

    Ich habe mir dazu jetzt folgende Überlegung gemacht.
    Normalerweise müsste es besser, wenn man seine Bundles an einen Account bindet und das nicht deswegen, weil die Verwaltung der ganzen Spiele dann einfacher ist,
    sondern weil es sicherer ist.

    Sicherer, Warum?

    Tja, im Prinzip hat man ja, sobald man ein Bundle gekauft hat, nicht mehr als nur eine URL zur Verfügung. Und diese URL scheint, bei den Steam freien Spielen an keine E-Mail Adresse und keinen Namen gebunden zu sein.
    Die URL wird irgendwie mathematisch, aus einem Algorithmus erzeugt und genau da sehe ich das Problem.

    Mal angenommen es gelingt jemanden, einen Key- bzw. URL Generator für die Bundles auf dieser Webseite zu programmieren, dann wäre es durch puren Zufall theoretisch möglich, dass eure URL, die euch auf die Seite eures gekauften Bundles bringt, irgendwann mal von irgendjemandem benutzt wird oder irgendwo im Internet landet.
    Denn es wäre ja denkbar, dass so ein URL Generator genau eure URL errechnet.

    Dann habt ihr ein Problem, denn der Seitenbetreiber wird dann behaupten, dass ihr eure URL weitergegeben habt und diese URL mit diesem Key sperren.
    Oder jemand sieht die URL im Internet oder erzeugt sie mit dem URL Generator und bindet sie an seinen eigenen Account.
    Letzteres wäre zwar nicht das schlauste, wenn er es an seinen richtigen Account bindet, aber für uns ist das hier egal bzw. nicht so wichtig, nicht egal ist dann allerdings, dass die eigene URL dann an dessen Account gebunden ist und ihr somit gar keine Möglichkeit hättet, an eure gekauften Spiele wieder heranzukommen.

    Diese URLs bieten also, außer der kryptografischen, keinerlei Schutz und wie gut dieser Schlüssel ist, dass weiß nur der Seitenbetreiber.

    Bei einem Account sieht das wiederum aber ganz anders aus, denn wenn die URLs an einen Account gebunden sind, dann bringen die URLs ohne Login in den Account rein gar nichts.
    Da müsste man euch also schon das Passwort zum Account stehlen und auch eure E-Mail Adresse kennen.

    Der Nachteil der Bindung der Bundles an einen Account wäre dann lediglich, dass ihr euer Bundle schlecht weiterverkaufen könnt.



  • Humble könnte bei jedem Kauf Zufallszahlen generieren, daraus die URL erzeugen und dann in einer DB abspeichern. Selbst wenn du den Algorithmus hast, fehlen dir noch die Zufallszahlen um eine valide URL zu bekommen.

    Lokaler Software fehlt die Möglichkeit Eingabedaten zu nutzen die du nicht lesen kannst. Deswegen sind da Keygeneratoren möglich.



  • Also so eine URL besteht aus

    http://www.humblebundle.com/?key=
    

    und einem 12 stelligen Key, welcher aus Klein- und Großbuchstaben, sowie Ziffern besteht.

    Wäre es nicht denkbar, dass man mit einem vernetzten Botnetz so einen Key per Brute Force erratet?

    Immerhin sind das nur 62^12 = 3226266762397899821056 Kombinationen,
    aber Millionen von verfügbaren Keys bei > 36-1 Bundles. (die -1 da das erste Bundle noch aus einer wolfire URL bestand)

    Wenn ein Botnetz aus 10 Mio Rechnern besteht und man für jeden Rechner 7 Keykombinationen am Tag testen kann, ehe der Server für einen Tag lang diesen Rechner dicht macht, dann müsste man doch über ein paar Monate hinweg schon an ein paar gültig Keys kommen. Oder?

    Mal angenommen, jedes der 35 verkauften Bundles hat 1 Mio Käufer, dann läge mit obigen Daten die Wahrscheinlichkeit, dass man einen Key pro Tag knackt bei

    6212/(35*106 * 7 * 10*10^6) = 1316843

    1.3 Mio zu 1 ist noch viel.
    Aber auf 365 Tage runtergerechnet ist das nur noch ein Verhältnis von 3607 zu 1.

    Die Wahrscheinlichkeit, dass man ausgerechnet meine Keys erratet, ist zwar ausgesprochen gering, aber dennoch nach obiger Rechnung denkbar.



  • 1. errät

    2. Ein Botnet dieser Größenordnung ist viel mehr Wert, als dass es sich lohnte, damit auf die Keysuche zu gehen.



  • Account schrieb:

    Wenn ein Botnetz aus 10 Mio Rechnern besteht und man für jeden Rechner 7 Keykombinationen am Tag testen kann, ehe der Server für einen Tag lang diesen Rechner dicht macht, dann müsste man doch über ein paar Monate hinweg schon an ein paar gültig Keys kommen. Oder?

    Ahahaha ja nee ist klar. 10 Mio Bots für ein lausiges Bundle das ein paar Euro kostet.



  • Wenn du Pech hast, ist der Key den du gefunden hast genau 1 cent wert.



  • TGGC schrieb:

    Wenn du Pech hast, ist der Key den du gefunden hast genau 1 cent wert.

    Ganz genau, 1 Dollar-Cent sogar nur. 😃



  • TGGC schrieb:

    Wenn du Pech hast, ist der Key den du gefunden hast genau 1 cent wert.

    Der Mindestbetrag bei Humble Bundle zum kaufen eines Bundles beträgt immer einen Dollar, das kann also schonmal nicht sein mit dem einen Cent.

    @ qweasdyxc

    Was macht das schon dem Botnetbesitzer aus, wenn sowieso von Anfang klar ist, dass er pro Tag den Server vielleicht höchstens 7 mal aufrufen kann?
    Das geht in weniger als 1 Minute, für die restlichen 23 h und 59 min ist das ach so wertvolle Botnetz dann wieder für weitere Dinge frei.



  • Account schrieb:

    TGGC schrieb:

    Wenn du Pech hast, ist der Key den du gefunden hast genau 1 cent wert.

    Der Mindestbetrag bei Humble Bundle zum kaufen eines Bundles beträgt immer einen Dollar, das kann also schonmal nicht sein mit dem einen Cent.

    Erst wissen, dann schreiben...



  • Account schrieb:

    Das geht in weniger als 1 Minute, für die restlichen 23 h und 59 min ist das ach so wertvolle Botnetz dann wieder für weitere Dinge frei.

    Der Botnetzbetreiber wird kaum eine Minute oder auch nur einen Gedanken an etwas verschwenden, das ihm im Schnitt so ungefähr 0,0000007€ am Tag einbringen wird. Unter der Voraussetzung natürlich, dass in der Geschichte des Humblebundle noch nie einer seine Spiele tatsächlich auf Steam eingelöst hat und dass die Humblebundle-Server diesem groß angelegten DDoS-Angriff standhalten können und auch ohne dass jemals Gegenmaßnahmen ergriffen werden.

    Eine Stunde in einer Firma Klos putzen dürfte lukrativer sein als was die Geschäftsidee in einem ganzen Menschenleben einbringen kann. Ist sogar legal, man braucht keine Auslieferung an die USA oder sonstiges zu befürchten und es ist auch kein Botnetz mit 10 Millionen Rechnern dazu notwendig.



  • Account schrieb:

    Der Mindestbetrag bei Humble Bundle zum kaufen eines Bundles beträgt immer einen Dollar, das kann also schonmal nicht sein mit dem einen Cent.

    Falsch.



  • _matze schrieb:

    Account schrieb:

    Der Mindestbetrag bei Humble Bundle zum kaufen eines Bundles beträgt immer einen Dollar, das kann also schonmal nicht sein mit dem einen Cent.

    Falsch.

    Nö, richtig.

    Du mußt mindestens einen Dollar bezahlen, wenn du das Bundle kaufen möchtest, das steht auch dran.
    Und das stand auch beim letzten Sega Bundle wieder dran.



  • Account schrieb:

    _matze schrieb:

    Account schrieb:

    Der Mindestbetrag bei Humble Bundle zum kaufen eines Bundles beträgt immer einen Dollar, das kann also schonmal nicht sein mit dem einen Cent.

    Falsch.

    Nö, richtig.

    Du mußt mindestens einen Dollar bezahlen, wenn du das Bundle kaufen möchtest, das steht auch dran.
    Und das stand auch beim letzten Sega Bundle wieder dran.

    Na gut, da du anscheinend nicht in der Lage bist, das selbst mal nachzuprüfen, hab ich das mal für dich gemacht:

    http://puu.sh/7EMuv.jpg

    Für Steam keys musst du einen Dollar bezahlen. Die DRM-free Versionen kriegst du auch für einen Cent. So ist es schon bei sehr vielen Humble Bundles gewesen. Und es gab früher sogar schon den Fall, dass du für einen Cent auch Steam keys bekommen hast. Also noch mal in Kurzform: selbstverständlich kann man Humble Bundles für einen Cent kaufen.


Log in to reply