- Joined
- Sep 11, 2001
- Messages
- 4,559
- Reaction score
- 3
Aktuell schauts eher danach aus das du beim "Hacken" gar nicht ans PW usw ran kommst.
Ich versuchs jetzt mal mit einfachen Worten zu erklären so das man nicht unbedingt nen Info Studium oder zumindest ne gute Portion Vorwissen mitbringen muss... ^^
Beim joinen eines Spiels wird ne Session ID erstellt zusammen mit ner zweiten ID. Wenn du von jmd beides bekommst kannst du wohl bei "Szenenwechseln" (also z.B. betreten eines Dungeons) dieses Spiel und damit auch den Char Hijacken.
Verlässt du das Game fliegst du aus dem Acc raus - du kannst dich aber von anderen Inviten lassen bzw in die Games von anderen joinen... und dort dann das Gold abladen.
Wie genau man nu an die IDs kommt is noch net ganz raus jedenfalls abseits von "Spiel mit denjenigen, dann kriegt sie eh jeder der im Spiel ist zugeschickt".
Sehr gute Möglichkeit um an Spieler ranzukommen ist in der Hinsicht z.B. den "Akt4 Hell zu Akt4 Inferno" Jump. Wer meinte er könne z.B. in "Prime Evil" den 2 Geist von Tyrael killen lassen indem er sich dorthin .... "bugt" (es is eigentlich kein Bug.. aber nen Exploit auch nicht... es ist schlicht Dummheit seitens Blizzard das nen 60er Char nur noch in Inferno Games joinen kann in der Public Games Geschichte..) ist halt vllt an einen geraten der das Spiel dort auf hatte nur um die IDs abzugreifen... Dumm gelaufen.
Das AH kann man bei der Variante allerdings ausschliessen.
(Ich würds btw ansich ganz ausschliessen, ich hab nu 4900~ Transaktionen getätigt... und keiner hat gemeint ich wäre n lohnenswertes Opfer... )
Ganz "geknackt" so dases Nachvollziehbar ist, is das ganze noch nicht, jedenfalls nicht in den Foren in denen ich so quer mitles, allerdings ists wohl schon mehrfach gelungen andere Sessions zu kapern wenn halt auch nicht wirklich 100% reproduzierbar.
Der Spieler fliegt bei Erfolg dann aber einfach mit nem "Party konnte nicht erstellt werden :1" usw raus und der andere kann z.B. seinen Muli ins Spiel inviten.(Deswegen sind die ja auch immer auf der Recently Played Liste)
Allerdings in den "öffentlichen" Foren noch mit größeren Problemen in der ausführung die zu komischen Ergebnissen führen soll.
(Sowas passiert halt wenn man super dämlich ist... wie kann man bitte 2 kopierbare IDs nehmen und dann auch noch den Server über den Client stellen... beide berechnen eh das gleiche... aber wenn der Client halt "scheisse" als daten schickt kriegt er vom Server "die richtigen" und du kannst dich in nen Spiel laden in dem du gar nicht warst... normalerweise müsste der Server nen Asynchrones Spiel feststellen und die Session einfach schliessen und das ganze auf den Stand von vor der Session zurückstellen um z.B. veränderungen der Attribute zu verhindern bzw nicht permanent zu belohnen... aber neeeeeeeeein ... man Synchronisiert einfach den Client (Slave) mit dem Server(Master) und ermöglicht damit wieder solch einen Schwachsinn weil jeder diese Daten kriegt der die gültigen IDs hat... )
Wenn die PWs z.B. nur als Hash hinterlegt worden sind ist das PW als "Klartext" zu betrachten.
Durch die Witzvorgabe buchstaben+zahlen ist die Variation so gering... das ist nicht wert beachtet zu werden... gibt sicher schon seit Jahren Rainbows die genau diese billigen Kombinationen sofort liefern.
Hast du also z.B. das Hashtag hast du das PW als Klartext und bist drin wenn keine weitere Sicherheitsmaßnahme folgte (Authi z.B.)
Ich würd aber sagen das is hier nicht der fall, sonst wär der Aufschrei in WoW sicher gleichgroß wenn nicht größer.. ^^
(Das Blizzard in der Hinsicht irgendwas zum "Verschlüsseln" benutzt das abseits des Standards und damit der Rainbows ist, bezweifel ich jetzt einfach mal spontan... dafür vermittelt die ganze Sicherheitsgeschichte bei Blizzard irgendwie nen zu amateurhaftes Gefühl... )
Last edited:
