Liebe Community,
heute habe ich mich entschlossen einen weiteren Beitrag zum Thema Transparenz zu bringen. Der ein oder andere fragt sich sicher, wie Sicher die Server sind. Was passiert, falls doch wer auf den Servern einbrechen sollte?
Dies ist ein recht sensibles Thema. Zunächst möchte ich einmal auf den Loginprozess zu sprechen kommen. Dieser schaut für das Forum so aus:
[Blocked Image: http://files.dunewar.com/server/login.png]
Wie sicher der ein oder andere weiß gibt es eine globale Datenbank. Beim Forum wird beim Login geschaut ob der User der sich einloggen möchte bereits angelegt ist. Ist er dies, und hat er das richtige Passwort eingegeben, so wird er in das Forum eingeloggt. Ansonsten verbindet sich mein umprogrammierter Login mit der globalen Datenbank und aktualisiert ggf. das Passwort oder legt den betreffenden Spieler in der Forendatenbank an.
Soviel dazu erst einmal.
Passwortsicherheit:
Nun kommen wir zu den Passwörtern. Diese werden primär sicher, mit einem Salt versehen, mehrfach verschlüsselt abgespeichert. [Salted Hash]
Dies ist eine ziemlich sichere Verschlüsselungsmethode und es ist praktisch unmöglich - im Falle des Datendiebstahls - diese Passwörter zurück zu rechnen und somit an die Klartextpasswörter zu kommen. Ebenfalls können hier keine Rainbowtables [Link] zum Einsatz kommen um dass Passwort im Klartext zu ermitteln.
Sekundär werden allerdings noch die Passwörter auch noch einfach verschlüsselt als MD5 und SHA1 Hash gespeichert. Auf diese können im Zweifel die oben erwähnten Rainbowtables verwendet werden.
Weil diese sekundäre Art und Weise Passwörter zu speichern mittlerweile sehr unsicher ist, wird dies in nächster Zukunft aus der Datenbank verschwinden und die Logins, die das bei meinen Spielen noch verwenden, werden dementsprechend angepasst werden.
Diese einfache Art und Weise Passwörter zu speichern nutzen übrigens fast alle Spiele. Egal ob Client spiele wie World of Tanks & Eveonline oder Browsergames wie Ikariam & Ogame.
Desertwar, Vendetta und Space4k hatten die Passwörter damals übrigens gar nicht verschlüsselt, was man daran erkennen konnte, dass man das gleiche Passwort bei "Passwort vergessen" zugeschickt bekommen hatte, wie man es auch vorher genutzt hatte.
Serversicherheit:
Zu der Serversicherheit ist zu sagen, dass heut zu Tage nahezu jeder Server, der sich irgendwo im Internet befindet von anderen angegriffen wird. So auch meiner. Allerdings kann man sich auch hiergegen schützen. Hierzu habe ich diverse Tools installiert (welche ich aus Sicherheitsgründen nicht näher benennen möchte) welche solche Angriffe aufdecken und die entsprechenden Angreifer aussperren.
Auch werde ich über jeden erfolgreichen Login auf meinem Server per E-Mail informiert. Sprich, sollte ich mal ne Mail über einen Login bekommen, der ich nicht war, kann ich sofort handeln.
Als weiteren Schutz habe ich ein weiteres Tool installiert, welches mich einmal täglich über neue Updates informiert, sofern denn welche vorhanden sind. Auch dies ermöglicht es mir bekannt gewordene Sicherheitslücken in installierter Server Software rechtzeitig zu erkennen und zu stopfen.
Zusammenfassung Sicherheit:
Sollte es doch einmal jemand schaffen auf die Server ein zu brechen, so bekomme ich dies ziemlich schnell mit und kann dagegen Maßnahmen unternehmen. Auch können "Einbrecher" mit den ggf. gestohlenen Daten praktisch nichts anfangen.
Ich hoffe ich konnte euch einen kleinen Überblick verschaffen. Für Fragen, Wünsche & Anregungen stehe ich natürlich bereit.
Viele Grüße
RaVenC
heute habe ich mich entschlossen einen weiteren Beitrag zum Thema Transparenz zu bringen. Der ein oder andere fragt sich sicher, wie Sicher die Server sind. Was passiert, falls doch wer auf den Servern einbrechen sollte?
Dies ist ein recht sensibles Thema. Zunächst möchte ich einmal auf den Loginprozess zu sprechen kommen. Dieser schaut für das Forum so aus:
[Blocked Image: http://files.dunewar.com/server/login.png]
Wie sicher der ein oder andere weiß gibt es eine globale Datenbank. Beim Forum wird beim Login geschaut ob der User der sich einloggen möchte bereits angelegt ist. Ist er dies, und hat er das richtige Passwort eingegeben, so wird er in das Forum eingeloggt. Ansonsten verbindet sich mein umprogrammierter Login mit der globalen Datenbank und aktualisiert ggf. das Passwort oder legt den betreffenden Spieler in der Forendatenbank an.
Soviel dazu erst einmal.
Passwortsicherheit:
Nun kommen wir zu den Passwörtern. Diese werden primär sicher, mit einem Salt versehen, mehrfach verschlüsselt abgespeichert. [Salted Hash]
Dies ist eine ziemlich sichere Verschlüsselungsmethode und es ist praktisch unmöglich - im Falle des Datendiebstahls - diese Passwörter zurück zu rechnen und somit an die Klartextpasswörter zu kommen. Ebenfalls können hier keine Rainbowtables [Link] zum Einsatz kommen um dass Passwort im Klartext zu ermitteln.
Sekundär werden allerdings noch die Passwörter auch noch einfach verschlüsselt als MD5 und SHA1 Hash gespeichert. Auf diese können im Zweifel die oben erwähnten Rainbowtables verwendet werden.
Weil diese sekundäre Art und Weise Passwörter zu speichern mittlerweile sehr unsicher ist, wird dies in nächster Zukunft aus der Datenbank verschwinden und die Logins, die das bei meinen Spielen noch verwenden, werden dementsprechend angepasst werden.
Diese einfache Art und Weise Passwörter zu speichern nutzen übrigens fast alle Spiele. Egal ob Client spiele wie World of Tanks & Eveonline oder Browsergames wie Ikariam & Ogame.
Desertwar, Vendetta und Space4k hatten die Passwörter damals übrigens gar nicht verschlüsselt, was man daran erkennen konnte, dass man das gleiche Passwort bei "Passwort vergessen" zugeschickt bekommen hatte, wie man es auch vorher genutzt hatte.
Serversicherheit:
Zu der Serversicherheit ist zu sagen, dass heut zu Tage nahezu jeder Server, der sich irgendwo im Internet befindet von anderen angegriffen wird. So auch meiner. Allerdings kann man sich auch hiergegen schützen. Hierzu habe ich diverse Tools installiert (welche ich aus Sicherheitsgründen nicht näher benennen möchte) welche solche Angriffe aufdecken und die entsprechenden Angreifer aussperren.
Auch werde ich über jeden erfolgreichen Login auf meinem Server per E-Mail informiert. Sprich, sollte ich mal ne Mail über einen Login bekommen, der ich nicht war, kann ich sofort handeln.
Als weiteren Schutz habe ich ein weiteres Tool installiert, welches mich einmal täglich über neue Updates informiert, sofern denn welche vorhanden sind. Auch dies ermöglicht es mir bekannt gewordene Sicherheitslücken in installierter Server Software rechtzeitig zu erkennen und zu stopfen.
Zusammenfassung Sicherheit:
Sollte es doch einmal jemand schaffen auf die Server ein zu brechen, so bekomme ich dies ziemlich schnell mit und kann dagegen Maßnahmen unternehmen. Auch können "Einbrecher" mit den ggf. gestohlenen Daten praktisch nichts anfangen.
Ich hoffe ich konnte euch einen kleinen Überblick verschaffen. Für Fragen, Wünsche & Anregungen stehe ich natürlich bereit.
Viele Grüße
RaVenC