Passwörter auf NyanRO

Shoutbox

  • Benny

    Das ist hier alles so nebensächlich geworden, Danke für die Anteilname. Das RL ist halt so. Bei mir ist es ich habe COPD 3, Erstickungabfälle die Regel. 40 prozent Lungenkapazität. Dann stirbt meine Zweitmutti. Ich habe in Folge einfach nur noch mehr Angst. Deshalb die Bitte das auch ihr jüngeren Älteren mit gebührendem Abstand, egal wo Ihr seid begenet. Gebt bitte acht auf euch und helft uns, uns nicht anzustecken 04.06.

  • 15peaces

    Mein Beileid! :(

  • Gast#f752

    Hallo, wir haben gerade geheiratet und möchten gerne einen Char adoptieren dies funktioniert aber leider nicht , ist dies ein bug oder habt ihr diese Funktion nicht mit ins Spiel genommen?

  • BlackInfinity

    Hallo, wir haben gerade geheiratet und möchten gerne einen Char adoptieren dies funktioniert aber leider nicht , ist dies ein bug oder habt ihr diese Funktion nicht mit ins Spiel genommen?

  • ZeroServal

    alles dazu ist hier zu finden :ok: Adoptieren geht nicht

  • Benny

    SRY, für alles

  • Kyrri

    wo ist dieser seltsame Beitrag zu den Passwörtern im Klartext abgeblieben?

  • 15peaces

    Erstmal deaktiviert.
    Ich kümmer mich erstmal darum und schreibe dann etwas dazu.

  • 15peaces

    Ist wieder aktiv, entsprechende Lücke bereits geschlossen.

  • 15peaces

  • 15peaces

    Habe dir ingame geschrieben. Mails sieht man Ingame nicht immer sofort, besser ne PN schreiben oder in den Chat Room schreiben...

  • 15peaces

    Ich habe dir ne private nachricht an Little Fox geschrieben. Wenn du dich natürlich ausloggst, siehst du die nichtmehr. Schreib mich Ingame an (nicht per Mail, sondern direkt), wenn ich online bin.

  • 15peaces

    Und das soll was bringen? xD Ich kann dir das Item nur direkt auf den Char geben, wenn er online ist. Auch kann ich dir nur online bei der Quest helfen... Ich kann dir auch keine festen Zeiten nennen, wann ich online und anwesend bin, da ich keine festen Zeiten habe durch Arbeit und was sonst so im RL los ist... ^^

  • Benny

    Es gibt hier so viele nette Leute auf den Server, danke an alle. Ich kann meine Gedanken z.Z nur durch den Verlust eines ganz lieben Menschens nicht richtig sammeln. Ich bin 1961 geboren und komme mit dem Neuen oft nicht zurecht. Ohne meine Freundin währe ich jetzt auch nicht hier. Schnell habe ich gemerkt das das Serverteam hier total Spitze ist. Wir spielen seit dem wieder im Duett. Eure Hilfe bei Fragen ist uns wichtig. Ich schreibe hier, müsste schon schlafen, aber die Biitte um Nachsicht muss ich noch rüberbringen.

  • Gast#9aa5

    Hey, ist ein gm online?

  • Ragna

    15peaces? ich bin der, der hilfe braucht^^

  • 15peaces

    Siehe pn.

  • Odium

    Wo aufm Main ist diese Thanks Ticket Machine? /wah

  • ZeroServal

    vermutlich der getränkeautomat, wo die shops unten stehen

  • 15peaces

    Aus gegebenem Anlass: Gebt doch bitte bei Spenden IMMER GLEICH den Accountnamen mit an, dies spart uns allen Arbeit und die NyanPoints werden schneller gutgeschrieben! <.<

  • Hallo liebe Spieler,


    wie einige von euch "alten Hasen" wissen, war und ist mir Transparenz euch gegenüber immer sehr wichtig (gewesen). Daher wende ich mich heute nochmals Aufgrund einer potentiell schwerwiegenden Sicherheitslücke bei uns an euch. (Thread: passwort im klartext)


    Gleich vorweg, die entsprechende Lücke wurde bereits geschlossen und ist nichtmehr nutzbar!
    Denoch bitte ich alle Spieler, rein vorsorglich ihre Passwörter der Ingame- Accounts zu ändern und bei der Gelegenheit (wenn noch nicht getan) eine korrekte E-Mail Adresse in diesen Accounts zu hinterlegen!


    Worum handelte es sich bei dieser Lücke?

    • Wie im Thread beschrieben, wurde bei der Nutzung der "Passwort vergessen" Funktion beim Senden der E-Mail ein "debug output" auf der Homepage angezeigt. Dort wurde unter anderem der Text der gesendeten Mail (und somit auch die angeforderten Account Daten) angezeigt. Dies ist in sofern problematisch, als dass jeder, der euren exakten Account Namen kennt, hiermit auch euer Passwort herausfinden konnte.
    • Hier muss ich mir leider eingestehen, dass ich nach dem Fix dieser Funktion vergessen habe, den Debugger wieder abzuschalten. Nur so konnte es überhaupt dazu kommen.


    Bin ich betroffen?

    • Solltet ihr eine ungültige Mailadresse in eurem Account hinterlegt haben, ist generell nicht auszuschließen, das ein "Angriff" stattgefunden hat!
    • Die entsprechende Nachricht wurde nur angezeigt, wenn auch das Senden der E-Mail erfolgreich war. Das bedeutet, parallel zu dieser angezeigen Nachricht wurde auch immer eine E-Mail an eure in dem jeweiligen Account hinterlegte E-Mail gesendet (ggf. Spam- Ordner prüfen!). Habt ihr seit dem 15.3.2020 eine Mail bekommen und die Funktion nicht benutzt, dann kann es hier zu einem "Angriff" gekommen sein.


    Wie sieht es mit den GM- Accounts aus?

    • Hier kann ich euch beruhigen. Selbst, wenn es einen "Angriff" auf einen GM Account gegeben hätte (was zur Zeit auszuschließen ist), bringt das Passwort allein nichts, um sich einzuloggen und die Rechte zu missbrauchen. Die GM Accounts sind nochmal gesondert geschützt und werden im Zweifel vom Server gekickt.


    Was nun?

    • Die entsprechende Lücke ist bereits geschlossen und kann nichtmehr genutzt werden.
    • Es genügt, rein vorsorglich die Passwörter aller Ingame- Accounts zu ändern.
    • Die Passwort vergessen Funktion wird nochmals überarbeitet und wird dann ein temporäres Passwort erstellen. Zur Zeit ist sie, in alter Funktionsweise aber ohne die Lücke wieder aktiviert.


    Wie sind Passwörter bei uns gespeichert und wie wird darauf zugegriffen?

    • Die Passwörter des Forums sind verschlüsselt gespeichert und werden auch nur so genutzt.
    • Die Passwörter für die Ingame Accounts sind "in Klartext" gespeichert. Dies liegt daran, dass Ragnarok Online keine verschlüsselten Passwörter unterstützt, oder die Verschlüsselung des Clienten nicht für P-Server nutzbar ist.
    • Alle Web-Zugriffe erfolgen bei uns (wenn über die https Seite -> https://nyanro.org aufgerufen) über eine moderne TLS 1.2 Verschlüsselung.
    • Auf der Homepage wird intern, soweit möglich, immer mit Hashes, niemals mit den direkten Passwörtern gearbeitet. So wird verhindert, das bei einem unwahrscheinlichen Abgreifen der (verschlüsselten) Daten und deren Entschlüsselung ein Passwort lesbar wird.
    • Auf den SQL- Server (und somit die Daten) kann ausschließlich über den Root- Server und dort lokal laufende Software zugegriffen werden. Dies sind hauptsächlich der Web- Server (und dortige Erweiterungen wie der Mail Server) und die Game- Server, sowie ein Frontend zur Datenbank- Verwaltung. Es besteht keine externe Zugriffsmöglichkeit, auch administrative Eingriffe erfolgen ausschließlich mit einem direkten Root- Zugang.
    • Alle Zugriffe auf die SQL Datenbanken erfolgen erst nach Prüfung der Befehlszeile auf Manipulationen jeglicher Form.


    Ich hoffe, ich konnte hiermit ein paar Fragen beantworten und möchte mich hiermit nochmals bei allen für diesen miesen Patzer Meinerseits entschuldigen!


    Mfg. 15peaces