Passwörter auf NyanRO

Shoutbox

  • Nein Eufenia der Fairness halber muss ich sagen dass auch du zur Schließung beigetragen hast und nicht nur Kyrri

    17:52
  • Es geht hier jetzt bitte nicht in der Shoutbox weiter. Der Beitrag wurde geschlossen weil alle Fakten genannt, man sich daher faktisch im Kreis drehte und die Aussagen einiger Beteiligten (nicht nur einer Person) immer persönlicher wurden. Wir müssen also einer Eskalationen keinen Spielraum geben

    18:06
  • Sehr hübsch und sachlich dargestellt lieber Odi, danke dafür

    19:29
  • INFO: Ich bin vom 11.6 - 13.6 nur über das Forum oder Discord erreichbar. Schreibt ihr mir eine PN bekomme ich eine Mail als Benachrichtigung. Wer mich also persönlich erreichen will, keine Scheu ich bin unterwegs aber erreichbar :kitty:

    22:19
  • Ähm es ist ein bisschen untergegangen, aber meine Sorcerer ist immer noch kaputt ^^°

    00:23
  • fixed ^^

    06:41
  • danke! :)

    13:03
  • Und der Hinweis für den Schwarzmarkt ist online. Wird leider nicht als neuer Post angezeigt. Achtet auf die Überschriften :no1:

    20:45
  • Ist es denn nicht mal im selben Ordner ?

    20:59
  • Ähm doch sollte im gleichen Thread sein, nur bisschen hoch scrolln. Da wurde mal drin gespammt, die Posts mussten entfernt werden

    21:00
  • Na na na na :swt: was ihr Ingame erzählt is mir egal. Aber die Position vom Schwarzmarkt wird im Forum nicht verraten. Pfui Pfui. Es gibt Spieler die gerne suchen

    22:31
  • Gibt es jetzt eigentlich schon ein neues Event?

    18:27
  • Ich hatte bereits erwähnt das ein Sommerevent zum Teil gestartet ist. Ich war das Wochenende über nicht da und habe bisher keinen Beitrag dazu verfasst. Zusätzlich möchte ich an der Stelle darauf hinweisen das wir regelmäßig neue Events haben, aber ich nicht die Kapazität habe euch jeden Monat mit etwas zu versorgen.

    22:33
  • Fixe Events mit bestimmten Themen sind von September-Ende Dezember und Februar bis Ende Mai. Im Januar, juni, Juli und August sind in der Regel keine großen Events. Außer das Sommer Event welches sich noch im Aufbau befindet.

    22:34
  • Bye, Bot ^^"

    07:21
  • Nachdem ich jetzt ca. 800 Nachrichten von unserem Bot (Zeitraum 22:44-5:54uhr) gelöscht habe bin ich dafür das wir wieder nen cooldown in die Shoutbox einbauen 😅 wir haben 400 Zeichen zur Verfügung. Für alles andere macht man einen Beitrag.

    08:36
  • Und ja ich musste die Nachrichten einzeln löschen :swt: Und nein, da sind nicht die mit drin die Peaces schon gelöscht hat bzw noch löschen muss da er wohl auch in der Box angewhispert wurde. Die sehe ich nicht 😅

    08:37
  • Gast#e7a3

    OK, kannst du sagen was schon gestartet ist, glaub ich bin blind😂

    11:28
  • Wir haben 3in cooldown von glaube 30 Sekunden drin... aber das hält nen Bot auch nicht auf. Da kann man nur Gäste in der Shoutbox verbieten...

    17:05
  • Also kurz und knapp. Sommer Event aktuell in der Wüste südlich von Morroc liegt ein einsamer Swordy der verdurstet. Getränkeautomat in Brasilias. In der Nähe des Marktplatzes (Spieler Shops)

    20:22
  • Hallo liebe Spieler,


    wie einige von euch "alten Hasen" wissen, war und ist mir Transparenz euch gegenüber immer sehr wichtig (gewesen). Daher wende ich mich heute nochmals Aufgrund einer potentiell schwerwiegenden Sicherheitslücke bei uns an euch. (Thread: passwort im klartext)


    Gleich vorweg, die entsprechende Lücke wurde bereits geschlossen und ist nichtmehr nutzbar!
    Denoch bitte ich alle Spieler, rein vorsorglich ihre Passwörter der Ingame- Accounts zu ändern und bei der Gelegenheit (wenn noch nicht getan) eine korrekte E-Mail Adresse in diesen Accounts zu hinterlegen!


    Worum handelte es sich bei dieser Lücke?

    • Wie im Thread beschrieben, wurde bei der Nutzung der "Passwort vergessen" Funktion beim Senden der E-Mail ein "debug output" auf der Homepage angezeigt. Dort wurde unter anderem der Text der gesendeten Mail (und somit auch die angeforderten Account Daten) angezeigt. Dies ist in sofern problematisch, als dass jeder, der euren exakten Account Namen kennt, hiermit auch euer Passwort herausfinden konnte.
    • Hier muss ich mir leider eingestehen, dass ich nach dem Fix dieser Funktion vergessen habe, den Debugger wieder abzuschalten. Nur so konnte es überhaupt dazu kommen.


    Bin ich betroffen?

    • Solltet ihr eine ungültige Mailadresse in eurem Account hinterlegt haben, ist generell nicht auszuschließen, das ein "Angriff" stattgefunden hat!
    • Die entsprechende Nachricht wurde nur angezeigt, wenn auch das Senden der E-Mail erfolgreich war. Das bedeutet, parallel zu dieser angezeigen Nachricht wurde auch immer eine E-Mail an eure in dem jeweiligen Account hinterlegte E-Mail gesendet (ggf. Spam- Ordner prüfen!). Habt ihr seit dem 15.3.2020 eine Mail bekommen und die Funktion nicht benutzt, dann kann es hier zu einem "Angriff" gekommen sein.


    Wie sieht es mit den GM- Accounts aus?

    • Hier kann ich euch beruhigen. Selbst, wenn es einen "Angriff" auf einen GM Account gegeben hätte (was zur Zeit auszuschließen ist), bringt das Passwort allein nichts, um sich einzuloggen und die Rechte zu missbrauchen. Die GM Accounts sind nochmal gesondert geschützt und werden im Zweifel vom Server gekickt.


    Was nun?

    • Die entsprechende Lücke ist bereits geschlossen und kann nichtmehr genutzt werden.
    • Es genügt, rein vorsorglich die Passwörter aller Ingame- Accounts zu ändern.
    • Die Passwort vergessen Funktion wird nochmals überarbeitet und wird dann ein temporäres Passwort erstellen. Zur Zeit ist sie, in alter Funktionsweise aber ohne die Lücke wieder aktiviert.


    Wie sind Passwörter bei uns gespeichert und wie wird darauf zugegriffen?

    • Die Passwörter des Forums sind verschlüsselt gespeichert und werden auch nur so genutzt.
    • Die Passwörter für die Ingame Accounts sind "in Klartext" gespeichert. Dies liegt daran, dass Ragnarok Online keine verschlüsselten Passwörter unterstützt, oder die Verschlüsselung des Clienten nicht für P-Server nutzbar ist.
    • Alle Web-Zugriffe erfolgen bei uns (wenn über die https Seite -> https://nyanro.org aufgerufen) über eine moderne TLS 1.2 Verschlüsselung.
    • Auf der Homepage wird intern, soweit möglich, immer mit Hashes, niemals mit den direkten Passwörtern gearbeitet. So wird verhindert, das bei einem unwahrscheinlichen Abgreifen der (verschlüsselten) Daten und deren Entschlüsselung ein Passwort lesbar wird.
    • Auf den SQL- Server (und somit die Daten) kann ausschließlich über den Root- Server und dort lokal laufende Software zugegriffen werden. Dies sind hauptsächlich der Web- Server (und dortige Erweiterungen wie der Mail Server) und die Game- Server, sowie ein Frontend zur Datenbank- Verwaltung. Es besteht keine externe Zugriffsmöglichkeit, auch administrative Eingriffe erfolgen ausschließlich mit einem direkten Root- Zugang.
    • Alle Zugriffe auf die SQL Datenbanken erfolgen erst nach Prüfung der Befehlszeile auf Manipulationen jeglicher Form.


    Ich hoffe, ich konnte hiermit ein paar Fragen beantworten und möchte mich hiermit nochmals bei allen für diesen miesen Patzer Meinerseits entschuldigen!


    Mfg. 15peaces

  • 15peaces

    Closed the thread.