Wartungsarbeiten in der Woche vom 25. März:
• [ABGESCHLOSSEN] Wartungsarbeiten im ESO Store und dem Kontosystem – 28. März, 14:00 – 17:00 MESZ

Änderungen am Account von Adminstrator?

  • ShikeiLIVE
    Eingebaute automatische Zensurfunktion geht Live. Damit die Mods nicht mehr alles per Hand zensieren müssen xD
  • InvitationNotFound
    InvitationNotFound
    ✭✭✭✭✭
    Sen_ps schrieb: »

    @Sen_ps
    https://github.com/vanilla/vanilla/commit/6a55f7c2ceb9073c1b8d1a73fbfd74c8ec8719fe
    https://github.com/vanilla/vanilla/commit/cd59b6a723e3d3e148b8dbcd2c3ddac03efe5f71
    https://github.com/vanilla/vanilla/commit/efa51ef709c7057721b4cbfff9d2e32831c4d745

    Ich vermute mal, dass das die Commits sind.

    Interessant ist dabei:
        /**
         * Filter a rich body to remove sensitive information.
         *
         * @param array $row The row to filter.
         * @return array Returns the filtered row.
         */
        public static function editBodyFilter($row) {
            if (!is_array($row) || strcasecmp($row['format'] ?? $row['Format'] ?? '', 'rich') !== 0) {
                return $row;
            }
            $key = array_key_exists('Body', $row) ? 'Body' : 'body';
            $row[$key] = self::stripSensitiveInfoRich($row[$key]);
            return $row;
        }
        /**
         * Strip sensitive user info from a rich string and rewrite it.
         *
         * @param string $input The rich text input.
         * @return string The string.
         */
        private static function stripSensitiveInfoRich(string $input): string {
            if (strpos($input, "password") === false) {
                return $input; // Bailout because it doesn't actually have user record.
            }
            $operations = json_decode($input, true);
            if (json_last_error() !== JSON_ERROR_NONE || !is_array($operations)) {
                return $input;
            }
            foreach ($operations as &$op) {
                $insertUser = $op['insert']['embed-external']['data']['insertUser'] ?? null;
                if (!$insertUser) {
                    // No user.
                    continue;
                }
                $op['insert']['embed-external']['data']['insertUser'] = [
                    'userID' => $insertUser['userID'],
                    'name' => $insertUser['name'],
                    'photoUrl' => $insertUser['photoUrl'],
                    'dateLastActive' => $insertUser['dateLastActive'],
                    'label' => $insertUser['label'],
                ];
            }
            $output = json_encode($operations, JSON_UNESCAPED_UNICODE);
            return $output;
        }
    

    Da ich nicht weiss, wo und wie die Funktionen aufgerufen werden können, weiss ich nicht genau, was der Impact ist.
    Aber es sieht so aus, als wie zu viele Informationen Preis gegeben werden konnten (Passwort oder Passwort-Hash, abhängig davon, wie das Password gespeichert wurde oder ob das nur das eigene gerade betrifft und allenfalls in der Session ist. Aber dafür kenne ich den Code bzw. das Forum zu schlecht. Also wieder reine Spekulation).
    We want firing off Dark Exchange in the middle of combat to feel awesome... - The Wrobler
    You know you don't have to be here right? - Rich Lambert
    Verrätst du mir deinen Beruf? Ich würde auch gerne mal Annahmen dazu schreiben, wie simple die Aufgaben anderer sind. - Kai Schober

    Addons:
    RdK Group Tool: esoui DE EN FR
    Port to Friend's House: esoui DE EN FR - Library: DE EN
    Yet another Compass: esoui DE EN FR
    Group Buffs: esoui DE EN FR
  • StrongPassion
    StrongPassion
    ✭✭✭✭
    Arcon2825 schrieb: »
    Als Vorsichtsmaßnahme in Antwort auf ein mögliches Sicherheitsproblem in ihrer Forensoftware, werdet ihr werdet aufgefordert, neue Passwörter zu wählen.

    Die Erklärung lässt ziemlich viel Spielraum zur Interpretation, daher:
    • Gab es ein Sicherheitsvorfall, ja oder nein?
    • Um ein Problem welcher Art handelte es sich?
    • Falls Passwort Daten für Außenstehende zugänglich waren, wie groß ist der Schaden?
    • Wie werden die Passwörter gesichert? Von in Klartext gespeicherten Kennwörtern bis mehrfach „gesalzenen“ Hashes habe ich leider schon alles gesehen...
    Sobald wir mehr Informationen von unserem Dienstleiter erhalten, geben wir sie weiter.

    Ich erwarte eine vollständige Aufklärung des Sachverhalts, die nun veröffentlichte Erklärung bietet eigentlich keinerlei Informationsgehalt.

    In Faceboo, Instagram und Co sämtliche private Infos bekannt geben und hier einen auf dicke Welle machen..hach wie süß 😂😂
    Miss Leandra & die mit Leichen spielt
    Großfeldherrin 🌟🌟🌟🌟🌟

    PVP Gilde: Schatten Konvent ( Rabenwacht )


    Veni, vidi, vici – Ich kam, sah und siegte !

  • InvitationNotFound
    InvitationNotFound
    ✭✭✭✭✭
    StrongPassion schrieb: »
    Arcon2825 schrieb: »
    Als Vorsichtsmaßnahme in Antwort auf ein mögliches Sicherheitsproblem in ihrer Forensoftware, werdet ihr werdet aufgefordert, neue Passwörter zu wählen.

    Die Erklärung lässt ziemlich viel Spielraum zur Interpretation, daher:
    • Gab es ein Sicherheitsvorfall, ja oder nein?
    • Um ein Problem welcher Art handelte es sich?
    • Falls Passwort Daten für Außenstehende zugänglich waren, wie groß ist der Schaden?
    • Wie werden die Passwörter gesichert? Von in Klartext gespeicherten Kennwörtern bis mehrfach „gesalzenen“ Hashes habe ich leider schon alles gesehen...
    Sobald wir mehr Informationen von unserem Dienstleiter erhalten, geben wir sie weiter.

    Ich erwarte eine vollständige Aufklärung des Sachverhalts, die nun veröffentlichte Erklärung bietet eigentlich keinerlei Informationsgehalt.

    In Faceboo, Instagram und Co sämtliche private Infos bekannt geben und hier einen auf dicke Welle machen..hach wie süß 😂😂

    Interessanter Kommentar. Kenne euch beide ja nicht und weiss nicht wie gerne ihr euch gegenseitig habt. :trollface:

    Aber es gibt dennoch einen Unterschied zwischen Informationen gewollt oder eben ungewollt teilen.
    Passwörter beispielsweise will man in der Regel nicht teilen. ;) Daher sind auch die oben aufgeführten Fragen auch nicht verkehrt. (Ebenso könnten andere Aspekte dadurch betroffen sein)
    We want firing off Dark Exchange in the middle of combat to feel awesome... - The Wrobler
    You know you don't have to be here right? - Rich Lambert
    Verrätst du mir deinen Beruf? Ich würde auch gerne mal Annahmen dazu schreiben, wie simple die Aufgaben anderer sind. - Kai Schober

    Addons:
    RdK Group Tool: esoui DE EN FR
    Port to Friend's House: esoui DE EN FR - Library: DE EN
    Yet another Compass: esoui DE EN FR
    Group Buffs: esoui DE EN FR
  • StrongPassion
    StrongPassion
    ✭✭✭✭
    StrongPassion schrieb: »
    Arcon2825 schrieb: »
    Als Vorsichtsmaßnahme in Antwort auf ein mögliches Sicherheitsproblem in ihrer Forensoftware, werdet ihr werdet aufgefordert, neue Passwörter zu wählen.

    Die Erklärung lässt ziemlich viel Spielraum zur Interpretation, daher:
    • Gab es ein Sicherheitsvorfall, ja oder nein?
    • Um ein Problem welcher Art handelte es sich?
    • Falls Passwort Daten für Außenstehende zugänglich waren, wie groß ist der Schaden?
    • Wie werden die Passwörter gesichert? Von in Klartext gespeicherten Kennwörtern bis mehrfach „gesalzenen“ Hashes habe ich leider schon alles gesehen...
    Sobald wir mehr Informationen von unserem Dienstleiter erhalten, geben wir sie weiter.

    Ich erwarte eine vollständige Aufklärung des Sachverhalts, die nun veröffentlichte Erklärung bietet eigentlich keinerlei Informationsgehalt.

    In Faceboo, Instagram und Co sämtliche private Infos bekannt geben und hier einen auf dicke Welle machen..hach wie süß 😂😂


    Daher sind auch die oben aufgeführten Fragen auch nicht verkehrt. (Ebenso könnten andere Aspekte dadurch betroffen sein)


    Nicht verkehrt ? Es ist immer noch eine Frage des Anstands, aber der scheint bei vielen hier verloren gegangen zu sein.Hier wird sich benommen wie wie eine wilde Meute mit Mistgabel und brennenden Fackeln.

    Wie Kai bereits geschrieben hat, war das ganze eine reine Vorsichtsmaßnahme aufgrund EVENTUELLER Sicherheitslücken.
    Edited by StrongPassion on 17. November 2019 18:40
    Miss Leandra & die mit Leichen spielt
    Großfeldherrin 🌟🌟🌟🌟🌟

    PVP Gilde: Schatten Konvent ( Rabenwacht )


    Veni, vidi, vici – Ich kam, sah und siegte !

  • Thorvarg
    Thorvarg
    ✭✭✭✭✭
    ✭✭
    Und dennoch wäre es schön, weitergehend informiert zu werden. Also, abwarten und Tee trinken.
  • StrongPassion
    StrongPassion
    ✭✭✭✭
    Thorvarg schrieb: »
    Und dennoch wäre es schön, weitergehend informiert zu werden. Also, abwarten und Tee trinken.


    Die wirst du sicher auch bekommen, sobald Informationen vorliegen. Aber wie Kai bereits geschrieben hat sind sie nicht die Betreiber der Foren. Warum wird hier also so nen Aufstand gemacht...
    Miss Leandra & die mit Leichen spielt
    Großfeldherrin 🌟🌟🌟🌟🌟

    PVP Gilde: Schatten Konvent ( Rabenwacht )


    Veni, vidi, vici – Ich kam, sah und siegte !

  • Thorvarg
    Thorvarg
    ✭✭✭✭✭
    ✭✭
    tenor.gif

    Edited by Thorvarg on 17. November 2019 18:57
  • Sen_ps
    Sen_ps
    ✭✭✭
    Deine Welt voller Gewissheiten und Vorwürfen in Ehren, aber
    StrongPassion schrieb: »
    , war das ganze eine reine Vorsichtsmaßnahme aufgrund EVENTUELLER Sicherheitslücken.
    ist bei einer Risikobeurteilung - zumal auf dieser Informationsbasis - leider Mumpitz.

    Ich schreibe das auch gar nicht um mit dir zu diskutieren, sondern um bei den anderen Forenteilnehmern doch etwas Bewusstsein zu schaffen, dass potentiell geklaute Accountdaten keine Kleinigkeit sind.

    Ungeachtet dessen zähle ich ja ebenfalls darauf, dass es noch Infos von ZOS gibt (nein, nicht vom ominösen Forenbetreiber) was denn nun Sache ist.
  • Arcon2825
    Arcon2825
    ✭✭✭✭✭
    ✭✭
    StrongPassion schrieb: »
    Arcon2825 schrieb: »
    Als Vorsichtsmaßnahme in Antwort auf ein mögliches Sicherheitsproblem in ihrer Forensoftware, werdet ihr werdet aufgefordert, neue Passwörter zu wählen.

    Die Erklärung lässt ziemlich viel Spielraum zur Interpretation, daher:
    • Gab es ein Sicherheitsvorfall, ja oder nein?
    • Um ein Problem welcher Art handelte es sich?
    • Falls Passwort Daten für Außenstehende zugänglich waren, wie groß ist der Schaden?
    • Wie werden die Passwörter gesichert? Von in Klartext gespeicherten Kennwörtern bis mehrfach „gesalzenen“ Hashes habe ich leider schon alles gesehen...
    Sobald wir mehr Informationen von unserem Dienstleiter erhalten, geben wir sie weiter.

    Ich erwarte eine vollständige Aufklärung des Sachverhalts, die nun veröffentlichte Erklärung bietet eigentlich keinerlei Informationsgehalt.

    In Faceboo, Instagram und Co sämtliche private Infos bekannt geben und hier einen auf dicke Welle machen..hach wie süß 😂😂

    Ich weiß um meine Beiträge bei Facebook & Co. und stelle alle paar Monate sicher, dass weder unter meinem Klarnamen noch unter den genutzten Nicknames von mir unerwünschte Informationen im Netz über die gängigen Suchmaschinen zu finden sind. Klingt in der heutigen Zeit wahrscheinlich komisch, ist aber so. Und tut auch absolut nix zur Sache.
    Danke trotzdem für die Anregung.

    Ansonsten weiß ich gar nicht, wo ich bei Dir überhaupt anfangen soll... natürlich ist ZOS der Betreiber des Forums, auch wenn sie die Wartung und Pflege abgegeben haben an einen externen Dienstleister. Und mit Anstand hat das schon mal alles gar nichts zu tun. Es muss aufgeklärt werden, ob durch diese Sicherheitslücke eine tatsächliche Gefahr entstanden ist oder sie gar aktiv ausgenutzt wurde.

    Auch wenn es Dir vollkommen egal ist, ich möchte wissen, ob weiterer Handlungsbedarf besteht. Denn, falls sowohl E-Mail Adressen als auch Passwörter abhanden gekommen sind, möchte ich rechtzeitig weitere Maßnahmen ergreifen können.

    Übrigens habe ich noch kein einziges Argument gehört, wieso es unverschämt sei, eine Aufklärung des Sachverhalts zu fordern. Nur mimimi, lass‘ ZOS in Ruhe, ihr macht unnötig einen Aufstand und Kai hat Urlaub. Tut mir leid, die Firma kann nicht stillstehen, nur weil Kai im Urlaub ist und der Rest ist ohnehin verblendeter Blödsinn.
    Edited by Arcon2825 on 17. November 2019 21:41
    Xbox EU
    CP 1400+:
    Laeleith - Magicka Sorcerer DD, Vampire
    Maryssía - Stamina Dragonknight Tank
    Thaleidria - Magicka Templar Healer
    Zemene - Magicka Necromant DD
    Poohie - Magicka Warden DD
    Elyveya - Stamina Nightblade DD
  • Tatjenne
    Tatjenne
    ✭✭✭
    Besser so, als wäre nichts unternommen worden. Klar, hab ich mich auch erstmal gewundert, aber nu ist alles guti.
    Werd jetzt erstmal ne Mütze Schlaf nehmen. 😴

    Nachti. 🌛
    Ich bin nicht auf der Welt, um zu sein wie andere mich gern hätten.
  • StrongPassion
    StrongPassion
    ✭✭✭✭
    Arcon2825 schrieb: »
    StrongPassion schrieb: »
    Arcon2825 schrieb: »
    Als Vorsichtsmaßnahme in Antwort auf ein mögliches Sicherheitsproblem in ihrer Forensoftware, werdet ihr werdet aufgefordert, neue Passwörter zu wählen.

    Die Erklärung lässt ziemlich viel Spielraum zur Interpretation, daher:
    • Gab es ein Sicherheitsvorfall, ja oder nein?
    • Um ein Problem welcher Art handelte es sich?
    • Falls Passwort Daten für Außenstehende zugänglich waren, wie groß ist der Schaden?
    • Wie werden die Passwörter gesichert? Von in Klartext gespeicherten Kennwörtern bis mehrfach „gesalzenen“ Hashes habe ich leider schon alles gesehen...
    Sobald wir mehr Informationen von unserem Dienstleiter erhalten, geben wir sie weiter.

    Ich erwarte eine vollständige Aufklärung des Sachverhalts, die nun veröffentlichte Erklärung bietet eigentlich keinerlei Informationsgehalt.

    In Faceboo, Instagram und Co sämtliche private Infos bekannt geben und hier einen auf dicke Welle machen..hach wie süß 😂😂



    natürlich ist ZOS der Betreiber des Forums, auch wenn sie die Wartung und Pflege abgegeben haben an einen externen Dienstleister.

    Auch wenn es Dir vollkommen egal ist, ich möchte wissen, ob weiterer Handlungsbedarf besteht. Denn, falls sowohl E-Mail Adressen als auch Passwörter abhanden gekommen sind, möchte ich rechtzeitig weitere Maßnahmen ergreifen können.


    1. hat Kai selbst im Statement gesagt das sie NICHT die Betreiber des Forums sind, also lass doch deine Behauptungen

    2. du wirst Infos bekommen, sobald welche vorliegen und auch das wurde bereits von Kai erwähnt

    Miss Leandra & die mit Leichen spielt
    Großfeldherrin 🌟🌟🌟🌟🌟

    PVP Gilde: Schatten Konvent ( Rabenwacht )


    Veni, vidi, vici – Ich kam, sah und siegte !

  • RatsthemE
    RatsthemE
    ✭✭✭✭✭
    :cookie: Hab' noch Kekse vom Abendtee übrig, noch jemand?! :cookie:
    U33 - Mo.14.03.2022
    Der Tag, an dem die sensationelle Performance-Verbesserung auf dem Live-Server aktiviert wurde ...
    ... indem man mir und Gleichgesinnten den grundlegenden Spielstil unter Hintern wegfegt.
    Spieler, die keine Lust mehr haben und sich nicht einloggen, geben natürlich Serverressourcen frei!

    Ich gehe dann erst mal auf Sparflamme, hab' auf diesen Einheitsbrei auf allen Chars keinen Bock! Individualität Ade!
  • dinosaurier520
    dinosaurier520
    ✭✭✭✭✭
    Bei mir hat der "Administrator" noch einen draufgesetzt. Obwohl ich das WE an der Ostsee war, mein Account weder gehackt noch von einem zweiten User benutzt worden ist...hatte ich, beim Login am Sonntagabend, angeblich bereits meine Login"belohnung" abgeholt.
    Nicht das ich den Mist irgendwie brauchen/haben wollen würde, aber ich denke hier läuft gerade einiges schief. Na mal gucken ob ich heute früh auch einmal zerstören einsparen kann...
  • Arcon2825
    Arcon2825
    ✭✭✭✭✭
    ✭✭
    StrongPassion schrieb: »
    Arcon2825 schrieb: »
    StrongPassion schrieb: »
    Arcon2825 schrieb: »
    Als Vorsichtsmaßnahme in Antwort auf ein mögliches Sicherheitsproblem in ihrer Forensoftware, werdet ihr werdet aufgefordert, neue Passwörter zu wählen.

    Die Erklärung lässt ziemlich viel Spielraum zur Interpretation, daher:
    • Gab es ein Sicherheitsvorfall, ja oder nein?
    • Um ein Problem welcher Art handelte es sich?
    • Falls Passwort Daten für Außenstehende zugänglich waren, wie groß ist der Schaden?
    • Wie werden die Passwörter gesichert? Von in Klartext gespeicherten Kennwörtern bis mehrfach „gesalzenen“ Hashes habe ich leider schon alles gesehen...
    Sobald wir mehr Informationen von unserem Dienstleiter erhalten, geben wir sie weiter.

    Ich erwarte eine vollständige Aufklärung des Sachverhalts, die nun veröffentlichte Erklärung bietet eigentlich keinerlei Informationsgehalt.

    In Faceboo, Instagram und Co sämtliche private Infos bekannt geben und hier einen auf dicke Welle machen..hach wie süß 😂😂



    natürlich ist ZOS der Betreiber des Forums, auch wenn sie die Wartung und Pflege abgegeben haben an einen externen Dienstleister.

    Auch wenn es Dir vollkommen egal ist, ich möchte wissen, ob weiterer Handlungsbedarf besteht. Denn, falls sowohl E-Mail Adressen als auch Passwörter abhanden gekommen sind, möchte ich rechtzeitig weitere Maßnahmen ergreifen können.


    1. hat Kai selbst im Statement gesagt das sie NICHT die Betreiber des Forums sind, also lass doch deine Behauptungen

    2. du wirst Infos bekommen, sobald welche vorliegen und auch das wurde bereits von Kai erwähnt

    1. Nirgendwo in Kais Post steht, dass ZOS nicht Betreiber des Forums ist, sondern die Sicherstellung des technischen Betriebs wurde lediglich an einen externen Dienstleister ausgelagert. Die Foren unterliegen den Nutzungsbedingungen von ZOS, werden durch ZOS Mitarbeiter administriert und auch die Datenschutzerklärung weist an der Stelle nichts Gegenteiliges auf.

    Außerdem, wenn ihr schon alle so schlau seid, dann benennt doch einfach diesen Dienstleister?
    Ich kann mir schon die Kommentare ausmalen, hätte ich Kai aufgefordert, ihren Dienstleister zu nennen. Denn das geht mich nun wirklich nichts an.

    2. Ja, nur die Ruhe. Die Informationen werden schon noch kommen. Ist ja auch ein ganz normaler Vorgang, der hier passiert ist.
    Edited by Arcon2825 on 18. November 2019 05:11
    Xbox EU
    CP 1400+:
    Laeleith - Magicka Sorcerer DD, Vampire
    Maryssía - Stamina Dragonknight Tank
    Thaleidria - Magicka Templar Healer
    Zemene - Magicka Necromant DD
    Poohie - Magicka Warden DD
    Elyveya - Stamina Nightblade DD
  • Tatjenne
    Tatjenne
    ✭✭✭
    Es ist doch immer wieder erstaunlich, wie einige sich aufregen, wenn es um ihre Daten geht. Aber bei Facebook und co könnens gar nicht genug Daten und Bilder abgeben, mit denen die sozialen Netzwerke dann machen was sie wollen. Da wird sich eigenartigerweise nicht aufgeregt.
    Ich will hier niemanden in Schutz nehmen oder gar angreifen, finde es eben nur sehr seltsam....

    ....und nein, ich bin in gar keinem dieser Netzwerke angemeldet. Dieses Forum hier, ist das Einzige, in dem ich etwas aktiv bin. ;)
    Edited by Tatjenne on 18. November 2019 05:45
    Ich bin nicht auf der Welt, um zu sein wie andere mich gern hätten.
  • Zabagad
    Zabagad
    ✭✭✭✭✭
    Arcon2825 schrieb: »
    Auch wenn es Dir vollkommen egal ist, ich möchte wissen, ob weiterer Handlungsbedarf besteht. Denn, falls sowohl E-Mail Adressen als auch Passwörter abhanden gekommen sind, möchte ich rechtzeitig weitere Maßnahmen ergreifen können.
    Ich möchte mich in eure Diskussion nicht einmischen, aber lies dir das nochmal in Ruhe durch und du solltest sehen, dass das Argument absurd ist.
    Du willst warten bis vom Betreiber/ZOS Infos kommen, um DANN zu entscheiden und dann RECHTZEITIG zu handeln?

    Gruß
    Ein Fefe Leser :wink:

    PC EU (noCP AD) Grey/Grau AD
  • StrongPassion
    StrongPassion
    ✭✭✭✭
    Arcon2825 schrieb: »
    StrongPassion schrieb: »
    Arcon2825 schrieb: »
    StrongPassion schrieb: »
    Arcon2825 schrieb: »
    Als Vorsichtsmaßnahme in Antwort auf ein mögliches Sicherheitsproblem in ihrer Forensoftware, werdet ihr werdet aufgefordert, neue Passwörter zu wählen.

    Die Erklärung lässt ziemlich viel Spielraum zur Interpretation, daher:
    • Gab es ein Sicherheitsvorfall, ja oder nein?
    • Um ein Problem welcher Art handelte es sich?
    • Falls Passwort Daten für Außenstehende zugänglich waren, wie groß ist der Schaden?
    • Wie werden die Passwörter gesichert? Von in Klartext gespeicherten Kennwörtern bis mehrfach „gesalzenen“ Hashes habe ich leider schon alles gesehen...
    Sobald wir mehr Informationen von unserem Dienstleiter erhalten, geben wir sie weiter.

    Ich erwarte eine vollständige Aufklärung des Sachverhalts, die nun veröffentlichte Erklärung bietet eigentlich keinerlei Informationsgehalt.

    In Faceboo, Instagram und Co sämtliche private Infos bekannt geben und hier einen auf dicke Welle machen..hach wie süß 😂😂



    natürlich ist ZOS der Betreiber des Forums, auch wenn sie die Wartung und Pflege abgegeben haben an einen externen Dienstleister.

    Auch wenn es Dir vollkommen egal ist, ich möchte wissen, ob weiterer Handlungsbedarf besteht. Denn, falls sowohl E-Mail Adressen als auch Passwörter abhanden gekommen sind, möchte ich rechtzeitig weitere Maßnahmen ergreifen können.


    1. hat Kai selbst im Statement gesagt das sie NICHT die Betreiber des Forums sind, also lass doch deine Behauptungen

    2. du wirst Infos bekommen, sobald welche vorliegen und auch das wurde bereits von Kai erwähnt

    1. Nirgendwo in Kais Post steht, dass ZOS nicht Betreiber des Forums ist, sondern die Sicherstellung des technischen Betriebs wurde lediglich an einen externen Dienstleister ausgelagert


    2. Ja, nur die Ruhe. Die Informationen werden schon noch kommen. Ist ja auch ein ganz normaler Vorgang, der hier passiert ist.



    1.Der erste Satz im Post.
    ZOS_GinaBruno schrieb: »
    Der Anbieter, mit dem wir die ESO-Foren betreiben, setzt alle Benutzerkennwörter für Partner zurück, die auf ihre neueste Softwareversion aktualisiert haben, einschließlich der ESO-Foren.Sobald wir weitere Informationen vom Anbieter erhalten, geben wir diese weiter. ( da steht nicht...wir)

    2. Ja, ein ganz normaler Vorhang. Dein Virenprogramm blockiert ja auch bevor etwas passiert, genau so wurde hier gehandelt es wurden die Passwörter zurückgesetzt bevor etwas passiert
    Miss Leandra & die mit Leichen spielt
    Großfeldherrin 🌟🌟🌟🌟🌟

    PVP Gilde: Schatten Konvent ( Rabenwacht )


    Veni, vidi, vici – Ich kam, sah und siegte !

  • ZOS_KaiSchober
    Das Forum wird von Vanilla gestellt; das ist kein großes Geheimnis und wurde hier bei der Analyse des letztes Forumupdates auch schon erwähnt.

    Kai Schober
    Senior Community Manager - The Elder Scrolls Online
    Facebook | Twitter | Twitch
    Staff Post
  • Smaxx
    Smaxx
    ✭✭✭✭✭
    Da ich nicht weiss, wo und wie die Funktionen aufgerufen werden können, weiss ich nicht genau, was der Impact ist.
    Aber es sieht so aus, als wie zu viele Informationen Preis gegeben werden konnten (Passwort oder Passwort-Hash, abhängig davon, wie das Password gespeichert wurde oder ob das nur das eigene gerade betrifft und allenfalls in der Session ist. Aber dafür kenne ich den Code bzw. das Forum zu schlecht. Also wieder reine Spekulation).

    Ich habe den Code mal kurz überflogen, das ist keine gründliche Analyse der Änderungen, es ist 8:30, ich hatte keinen Kaffee, der Computer wurde eben erst angeschaltet, usw. daher sind die folgenden Angaben ohne Gewähr oder irgendeine Garantie. ;)

    So wie es aussieht, war es möglich, den Seitenaufruf zum Bearbeiten eines Posts zu manipulieren, um mit den Postdaten (wenn man auf "Bearbeiten" klickt, wird ja unter anderem der Beitrag in seiner Reinform übertragen) auch den gespeicherten Passworthash zu bekommen. Das sollte aber auch nur dann funktionieren, wenn man das entsprechende Post bearbeiten kann, d.h. nur die eigenen Posts bzw. Nutzerdaten, wenn man kein Administrator oder Moderator ist. Die Gefahr für die einzelnen Daten sehe ich hier also extrem gering.

    Möglicher Angriff: Um das sinnvoll ausnutzen zu können, müsste ein Angreifer wohl den Forencode bei Fremden anpassen (z.B. über Malware), wodurch er dann deren Passwort-Hash wohl abgreifen könnte. Dass das wirklich in der Form in größerem Ausmaß passiert, halte ich für etwas weit hergeholt, weshalb ich das als unbedenklich sehen könnte. Theoretisch könnte eben auch ein Moderator seinen lokalen Browser passend modifizieren, aber auch da sehe ich keine große Gefahr. Sie haben die Passwörter also im Grunde nur vorsorglich "für den Fall dass" zurückgesetzt.
  • TorvenTool
    TorvenTool
    ✭✭✭✭✭
    Ich glaube, der Forendienstleister wurde von ZOS dazu angehalten, ab und an mal unsere Kennwörter zurück zu setzen. Nur, damit unser Entertainment-Faden nicht abreißt, sobald die ESO-Server rumzicken oder halt einfach wegen Überlastung explodieren.
    Ich bremse auch für Bergblume und Akelei.

    PC-Spieler, da zu alt für Konsolen.
  • ZOS_KaiSchober
    TorvenTool schrieb: »
    Ich glaube, der Forendienstleister wurde von ZOS dazu angehalten, ab und an mal unsere Kennwörter zurück zu setzen. Nur, damit unser Entertainment-Faden nicht abreißt, sobald die ESO-Server rumzicken oder halt einfach wegen Überlastung explodieren.

    Tatsächlich fände ich es gut, wenn man alle 6 Monate aufgefordert würde, ein neues Passwort zu wählen.
    Kai Schober
    Senior Community Manager - The Elder Scrolls Online
    Facebook | Twitter | Twitch
    Staff Post
  • TorvenTool
    TorvenTool
    ✭✭✭✭✭
    TorvenTool schrieb: »
    Ich glaube, der Forendienstleister wurde von ZOS dazu angehalten, ab und an mal unsere Kennwörter zurück zu setzen. Nur, damit unser Entertainment-Faden nicht abreißt, sobald die ESO-Server rumzicken oder halt einfach wegen Überlastung explodieren.

    Tatsächlich fände ich es gut, wenn man alle 6 Monate aufgefordert würde, ein neues Passwort zu wählen.

    Auf jeden Fall. Wäre für's Spiel auch keine schlechte Idee, aber der Komfortverlust würde vermutlich zu Massenkündigungen führen ;) .
    Ich bremse auch für Bergblume und Akelei.

    PC-Spieler, da zu alt für Konsolen.
  • InvitationNotFound
    InvitationNotFound
    ✭✭✭✭✭
    StrongPassion schrieb: »
    StrongPassion schrieb: »
    Arcon2825 schrieb: »
    Als Vorsichtsmaßnahme in Antwort auf ein mögliches Sicherheitsproblem in ihrer Forensoftware, werdet ihr werdet aufgefordert, neue Passwörter zu wählen.

    Die Erklärung lässt ziemlich viel Spielraum zur Interpretation, daher:
    • Gab es ein Sicherheitsvorfall, ja oder nein?
    • Um ein Problem welcher Art handelte es sich?
    • Falls Passwort Daten für Außenstehende zugänglich waren, wie groß ist der Schaden?
    • Wie werden die Passwörter gesichert? Von in Klartext gespeicherten Kennwörtern bis mehrfach „gesalzenen“ Hashes habe ich leider schon alles gesehen...
    Sobald wir mehr Informationen von unserem Dienstleiter erhalten, geben wir sie weiter.

    Ich erwarte eine vollständige Aufklärung des Sachverhalts, die nun veröffentlichte Erklärung bietet eigentlich keinerlei Informationsgehalt.

    In Faceboo, Instagram und Co sämtliche private Infos bekannt geben und hier einen auf dicke Welle machen..hach wie süß 😂😂


    Daher sind auch die oben aufgeführten Fragen auch nicht verkehrt. (Ebenso könnten andere Aspekte dadurch betroffen sein)


    Nicht verkehrt ? Es ist immer noch eine Frage des Anstands, aber der scheint bei vielen hier verloren gegangen zu sein.Hier wird sich benommen wie wie eine wilde Meute mit Mistgabel und brennenden Fackeln.

    Wie Kai bereits geschrieben hat, war das ganze eine reine Vorsichtsmaßnahme aufgrund EVENTUELLER Sicherheitslücken.

    Nein, du kannst das "EVENTUELLER" streichen. Es war eine Sicherheitslücke vorhanden. Nur gab es dazu relativ wenig Informationen und man darf sich nun selber heraussuchen, was das genau war.

    Je nach Land und Art des Unternehmens können solche Vorfälle Meldepflichtig sein.

    Wenn ich als Kunde (und hierbei ist eigentlich relativ egal, wer den Dienst betreibt) von einem Hack / Leak / Whatever betroffen bin, so will ich wissen, was los war und welche Daten davon betroffen sind oder sein könnten.

    StrongPassion schrieb: »
    Arcon2825 schrieb: »
    StrongPassion schrieb: »
    Arcon2825 schrieb: »
    StrongPassion schrieb: »
    Arcon2825 schrieb: »
    Als Vorsichtsmaßnahme in Antwort auf ein mögliches Sicherheitsproblem in ihrer Forensoftware, werdet ihr werdet aufgefordert, neue Passwörter zu wählen.

    Die Erklärung lässt ziemlich viel Spielraum zur Interpretation, daher:
    • Gab es ein Sicherheitsvorfall, ja oder nein?
    • Um ein Problem welcher Art handelte es sich?
    • Falls Passwort Daten für Außenstehende zugänglich waren, wie groß ist der Schaden?
    • Wie werden die Passwörter gesichert? Von in Klartext gespeicherten Kennwörtern bis mehrfach „gesalzenen“ Hashes habe ich leider schon alles gesehen...
    Sobald wir mehr Informationen von unserem Dienstleiter erhalten, geben wir sie weiter.

    Ich erwarte eine vollständige Aufklärung des Sachverhalts, die nun veröffentlichte Erklärung bietet eigentlich keinerlei Informationsgehalt.

    In Faceboo, Instagram und Co sämtliche private Infos bekannt geben und hier einen auf dicke Welle machen..hach wie süß 😂😂



    natürlich ist ZOS der Betreiber des Forums, auch wenn sie die Wartung und Pflege abgegeben haben an einen externen Dienstleister.

    Auch wenn es Dir vollkommen egal ist, ich möchte wissen, ob weiterer Handlungsbedarf besteht. Denn, falls sowohl E-Mail Adressen als auch Passwörter abhanden gekommen sind, möchte ich rechtzeitig weitere Maßnahmen ergreifen können.


    1. hat Kai selbst im Statement gesagt das sie NICHT die Betreiber des Forums sind, also lass doch deine Behauptungen

    2. du wirst Infos bekommen, sobald welche vorliegen und auch das wurde bereits von Kai erwähnt

    1. Nirgendwo in Kais Post steht, dass ZOS nicht Betreiber des Forums ist, sondern die Sicherstellung des technischen Betriebs wurde lediglich an einen externen Dienstleister ausgelagert


    2. Ja, nur die Ruhe. Die Informationen werden schon noch kommen. Ist ja auch ein ganz normaler Vorgang, der hier passiert ist.



    1.Der erste Satz im Post.
    ZOS_GinaBruno schrieb: »
    Der Anbieter, mit dem wir die ESO-Foren betreiben, setzt alle Benutzerkennwörter für Partner zurück, die auf ihre neueste Softwareversion aktualisiert haben, einschließlich der ESO-Foren.Sobald wir weitere Informationen vom Anbieter erhalten, geben wir diese weiter. ( da steht nicht...wir)

    2. Ja, ein ganz normaler Vorhang. Dein Virenprogramm blockiert ja auch bevor etwas passiert, genau so wurde hier gehandelt es wurden die Passwörter zurückgesetzt bevor etwas passiert

    Zu 2.:
    Du scheinst nicht wirklich zu wissen, wie Virenscanner funktionieren und wie einfach diese Umgangen werden können. Der Vergleich hinkt auch sonst gut, da im konkreten Fall eine Schwachstelle vorhanden war und du nicht weisst, ob diese ausgenutzt wurde und ob allenfalls bereits etwas mit dem Password-Hash gemacht wurde (sofern es kein totaler Verkacker war und die Passwörter im Klartext vorhanden waren). Daher ist es komplett falsch hier von "bevor etwas passiert" zu sprechen.

    Es handelt sich somit um Schadensbegrenzung nachdem eine Schwachstelle vorhanden war und man nicht weiss, ob diese wohl im konkreten Fall ausgenutzt wurde.
    Smaxx schrieb: »
    Da ich nicht weiss, wo und wie die Funktionen aufgerufen werden können, weiss ich nicht genau, was der Impact ist.
    Aber es sieht so aus, als wie zu viele Informationen Preis gegeben werden konnten (Passwort oder Passwort-Hash, abhängig davon, wie das Password gespeichert wurde oder ob das nur das eigene gerade betrifft und allenfalls in der Session ist. Aber dafür kenne ich den Code bzw. das Forum zu schlecht. Also wieder reine Spekulation).

    Ich habe den Code mal kurz überflogen, das ist keine gründliche Analyse der Änderungen, es ist 8:30, ich hatte keinen Kaffee, der Computer wurde eben erst angeschaltet, usw. daher sind die folgenden Angaben ohne Gewähr oder irgendeine Garantie. ;)

    So wie es aussieht, war es möglich, den Seitenaufruf zum Bearbeiten eines Posts zu manipulieren, um mit den Postdaten (wenn man auf "Bearbeiten" klickt, wird ja unter anderem der Beitrag in seiner Reinform übertragen) auch den gespeicherten Passworthash zu bekommen. Das sollte aber auch nur dann funktionieren, wenn man das entsprechende Post bearbeiten kann, d.h. nur die eigenen Posts bzw. Nutzerdaten, wenn man kein Administrator oder Moderator ist. Die Gefahr für die einzelnen Daten sehe ich hier also extrem gering.

    Möglicher Angriff: Um das sinnvoll ausnutzen zu können, müsste ein Angreifer wohl den Forencode bei Fremden anpassen (z.B. über Malware), wodurch er dann deren Passwort-Hash wohl abgreifen könnte. Dass das wirklich in der Form in größerem Ausmaß passiert, halte ich für etwas weit hergeholt, weshalb ich das als unbedenklich sehen könnte. Theoretisch könnte eben auch ein Moderator seinen lokalen Browser passend modifizieren, aber auch da sehe ich keine große Gefahr. Sie haben die Passwörter also im Grunde nur vorsorglich "für den Fall dass" zurückgesetzt.

    Ja und Nein. Und ich denke wir sind da beide zu wenig drin und spekulieren nur.
    Es ist korrekt, dass die Funktionen get_edit in CommentsApiController.php und DiscussionsApiController.php betroffen sind.
    Die Namen deuten darauf hin, dass es sich um Edit-Funktionen handelt.

    Jedoch ist aus den Commits nicht ersichtlich, wo und wann diese aufgerufen werden und ob geprüft wird, ob der Benutzer authentisiert ist. Und an dem Punkt ist es Spekulation, solange keiner von uns den Aufwand betreibt dem weiter nachzugehen (und ich werde dies nicht sein :trollface: ).

    Bspw. könnte auch der Inhalt zurückgegeben werden auch wenn du nicht die benötigten Rechte zum Editieren hast. Zum Beispiel in einer Fehlermeldung.

    Der Hintergrund dazu ist, dass ich beruflich Software auf Schwachstellen prüfe. Und da kannst du dir nicht vorstellen, was man da für wilde Sachen sieht... Von daher würde es mich hier nicht erstaunen, wenn diese Daten auch ohne die nötigen Rechte zugänglich waren. Aber eben, ich habe hier weder Zeit noch Lust dem nachzugehen, da dies hier nicht meine Aufgabe ist. Hier müsste der Forumbetreiber sowie ZOS mehr Informationen liefern (denen man dann wohl oder übel einfach glauben muss).
    We want firing off Dark Exchange in the middle of combat to feel awesome... - The Wrobler
    You know you don't have to be here right? - Rich Lambert
    Verrätst du mir deinen Beruf? Ich würde auch gerne mal Annahmen dazu schreiben, wie simple die Aufgaben anderer sind. - Kai Schober

    Addons:
    RdK Group Tool: esoui DE EN FR
    Port to Friend's House: esoui DE EN FR - Library: DE EN
    Yet another Compass: esoui DE EN FR
    Group Buffs: esoui DE EN FR
  • OwenDaring
    OwenDaring
    ✭✭✭✭✭
    Bei mir hat der "Administrator" noch einen drauf gesetzt. Obwohl ich das WE an der Ostsee war, mein Account weder gehackt noch von einem zweiten User benutzt worden ist...hatte ich, beim Login am Sonntagabend, angeblich bereits meine Login„Belohnung“ abgeholt.
    Nicht das ich den Mist irgendwie brauchen/haben wollen würde, aber ich denke hier läuft gerade einiges schief.

    @dinosaurier520 :

    Die Login-Belohnung hat aber nichts mit dem Foren-Account zu tun. Client & Forum werden durch getrennte IDs & Passwörter geschützt.
    „Wenn jemand Gutes von dir denkt, dann bemühe dich, dass er recht hat.“
    Ali ibn Abi Taalib

    Buried in Morrowind: 2017-10-11
  • dinosaurier520
    dinosaurier520
    ✭✭✭✭✭
    Ich weiß, daher doch meine geliebten "Gänsefüßchen". :)
  • Thorvarg
    Thorvarg
    ✭✭✭✭✭
    ✭✭
    Ich weiß, daher doch meine geliebten "Gänsefüßchen". :)

    2200311836_fdf42a8236_b.jpg
  • dinosaurier520
    dinosaurier520
    ✭✭✭✭✭
    Urks...nu muss ick meinem Köter die Augen zuhalten.
    Bleib !!!
    hunde-smilies-0025.gif
  • golden_Chaos
    golden_Chaos
    ✭✭✭✭✭
    Als ich möchte nicht dauernd mein PW ändern müssen, bin 100% dagegen!
    DIE WAHRHEIT WIRD ZU 100% IMMER ANS LICHT KOMMEN! TRUST THE PLAN
  • Tatjenne
    Tatjenne
    ✭✭✭
    golden_Chaos schrieb: »
    Als ich möchte nicht dauernd mein PW ändern müssen, bin 100% dagegen!

    Mir würde das ebenfalls nicht so wirklich zusagen.
    Ich bin nicht auf der Welt, um zu sein wie andere mich gern hätten.
Anmelden oder Registrieren, um zu kommentieren.