Passwortschleuder OGame

Jobbedingt interessiere ich mich für Browsergames. Und weil mich mal wieder das Gefühl überkam, zu wenig Konkurrenz- und aktuelle Produkte zu kennen, werde ich mich in nächster Zeit bei einigen registrieren und mal reinschauen.

Zu meiner Schande muss ich gestehen, dass ich das (angeblich) weltweit größte Browsergame bisher nicht gespielt habe. Also: OGame auf Platz eins meiner Liste gesetzt, registriert und hossa! OGame, bzw. der Betreiber Gameforge tut, was eigentlich längst nicht mehr getan werden sollte und gegen die gute Sitte im Internet verstößt: Nach meiner Registrierung bekam ich eine E-Mail mit meinen Zugangsdaten zugesandt, inklusive Passwort! Nie nicht gehören vollständige Zugangsdaten in eine E-Mail! Und weshalb Gameforge Passwörter im Klartext speichert, will mir auch nicht in den Kopf. Schlussendlich ist das eine weitere Sicherheitslücke und geht den Betreiber eigentlich nichts an. Vielleicht nutzt Gameforge das Passwort, um sich bei Bedarf an einem Account anzumelden. Das muss so aber nicht sein, denn es gibt andere technische Lösungen, dies zu bewerkstelligen.

Ich bin gespannt, welcher anderer Betreiber einen ähnlichen Weg geht.

OGame Passwort

6 Responses so far »

  1. 1

    Browsergame Blogger said,

    Dezember 6, 2007 @ 10:22

    Leider sind 90% bis 99% der Browsergames schlampig programmiert und das trifft nicht nur auf kleine, privat entwickelte, Projekte zu sondern auch auf die großen Spiele der Agenturen.
    Die Speicherung des Passwörter im Klartext ist da noch das geringste Problem.

    Teilweise ist es möglich auf Allianzseiten Bilder einzubinden welche auf deinem Webspace liegen. Sobald jemand auf deine Allianzseite gehst siehst du dann seine Session-ID und wenn es keinen IP-Check gibt kannst du dich direkt in seinen Account einloggen. Das war auch bei OGame lange Zeit möglich 😉

  2. 2

    Ogamer said,

    Januar 3, 2008 @ 22:56

    Mittlerweile werden nur noch Registierungsemails verschickt die kein Passwort enthalten.

    Aber frei nach einem der Spieltechniker aus dem Ogame-Forum: Accounts sind ja nicht so wichtig, da muss man es mit der Sicherheit auch nicht so genau nehmen …

    Falls dann doch mal ein Account weg ist – Ersatz gibt es ohnehin keine.

  3. 3

    sepp said,

    Januar 4, 2008 @ 10:42

    Mittlerweile spiele ich OGame nicht mehr. Nach ein paar Wochen beliebigen Auf- und Ausbaus irgendwelcher Gebäude, schlechten Gameplays und fix aufkommender Langeweile habe ich meinen Account im Stich gelassen.

    Stattdessen habe ich mich bei Ikariam registriert und zu spielen begonnen. Und oh Wunder: Auch in dieser Registrierungsbestätigungs-Mail wurde das Passwort mitgeschickt.

    http://www.ikariam.de

    Schön ist dort z.B. folgende Ausgabe im Browser:

    DELETE FROM messages WHERE message_id=
    You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near “ at line 1

    Deartige Debug-Ausgaben sollte jeder Live-Umgebung deaktiviert sein! Und es kommt noch schlimmer: Den entsprechenden Request kann man per GET absetzen!!

    @Browsergame Blogger
    Probleme gibt es viele in Browsergames. Unter anderem habe ich eine Weile bei Bigpoint gearbeitet. Dort ist längst! auch nicht alles Gold was glänzt! Bei weniger _professionellen_ Entwicklungen sieht es in der Regel noch viel wüster aus.

  4. 4

    stylermyler123 said,

    Juli 4, 2008 @ 12:24

    hallo wie kann ich trotzdem in dem account weiter spielen in dem ich gesperrt wurde

  5. 5

    sepp said,

    Juli 4, 2008 @ 13:31

    Tja nun: Keine Ahnung. Wende dich doch einfach an den Support.

  6. 6

    buschido97 said,

    Dezember 9, 2008 @ 19:56

    was hat der spieler gemacht

Comment RSS · TrackBack URI

Say your words