Angst

[Xam]

ich bin bei ogame uni 11 ein top 500 spieler.
jetzt habe ich gehört, dass es sehr leicht sein soll, an
eine gültige session-id zu kommen. damit kann man dann einen
account quasi "übernehmen" die flotte irgendwo hin schicken
oder die schön viel ressi verbauen. wie wahr ist das denn? das können
doch dann nur leute von ogame selbst sein, die gültige session-ids
bekommen können, oder? oder kann man da mit einer art "rate-methode"
gültige session-ids ermitteln? ich denke dass ich da in der masse
untergehe, alleine in uni 11 gibt es ja über 3500 spieler.
wie würde es denn ein angreifer anstellen, so eine session zu
bekommen? und kann man sich dagegen schützen? ich habe bei
mir eigentlich nie viel ressi rumliegen, aber wenn einer meinen
account auf die art hackt, dann hilft das ja auch nix.
es gibt da den ip-check, mit dem es erschwert werden soll,
sitzungen zu übernehmen, also so, dass nur die xyz ip-addi
die session xyz haben darf, wie sicher ist das denn?
habe das hier geschrieben, da ich glaube, dass hier ein paar
profis unterwegs sind. vielen lieben dank

[kata]

paar kurze anregungen von mir ...

- benütze die logout funktion (da gibts normal session destroy)
- benütze gesicherte verbindung (bei http verbindungen im schulen unis etc werden gerne die login daten mitgelesen -> https ist bei ogame.de nicht möglich -> eventuell tunnel aus shared netz verwenden)
- gib in deinem account daten an die dir zugeordnet werden können (hilft eventuell bei passwort wiederherstellung durch provider)
- teste welche daten in deiner session stehen und ob diese für dich ein sicherheitsrisiko darstellen -> wenn ja informiere den betreiber (http://www.google.at/search?hl=de&q=...nG=Suche&meta=)
- gib deinem topic einen aussagekräftigen namen

das wars

mfg
kata