Schwere Sicherheitslücke im Onlinemodus von Dark Souls
Forumsregeln
Datenschutzerklärung: https://www.gamespodcast.de/datenschutzerklaerung/
Impressum: https://www.gamespodcast.de/impressum/
Forenregeln und zukünftige Weltverfassung
ART 1: Behandle andere Nutzer mit Respekt.
ART 2: Do NOT piss off the Podcasters
Lies bitte weitere Hinweise hier: viewtopic.php?f=4&t=2789
Datenschutzerklärung: https://www.gamespodcast.de/datenschutzerklaerung/
Impressum: https://www.gamespodcast.de/impressum/
Forenregeln und zukünftige Weltverfassung
ART 1: Behandle andere Nutzer mit Respekt.
ART 2: Do NOT piss off the Podcasters
Lies bitte weitere Hinweise hier: viewtopic.php?f=4&t=2789
Re: Schwere Sicherheitslücke im Onlinemodus von Dark Souls
Gibt’s irgendwo mehr technische Details, wie die RCE orchestriert wurde? Ich habe DS noch nie online gespielt, daher keine Ahnung wie da die möglichen Interaktionen sind - spezielle Usernamen, präparierte Nachrichten („Great exploit ahead“), sonst was?
Re: Schwere Sicherheitslücke im Onlinemodus von Dark Souls
Ok, das muss ich eingestehen
Mein Marketing-Blabla-Filter im Kopf hatte schon um die “aber lass uns erstmal gar nix bestaetigen”-Formulierungen herumgelesen
Re: Schwere Sicherheitslücke im Onlinemodus von Dark Souls
Wie kann denn Elden Ring dieses Problem auch haben bzw. das schon bekannt sein? Nehmen die einfach ihr Ur-Demon's-Souls und basteln daraus ihre neuen Spiele oder was? Und das Spiel ist doch noch nicht mal erschienen, wer hat da schon was zum exploiten gefunden? (Außer die eigene QA, aber das machen die ja nicht publik.)
Re: Schwere Sicherheitslücke im Onlinemodus von Dark Souls
100% sicher ist es nicht, aber der PS4-Code von der Tech Beta wurde schon gehackt, der Netzwerk-Code ist identisch zu den von vorherigen From Software Spiele. Deswegen wird angenommen das der Exploit da auch funktioniert.
Notiz für mich
2022: 1. Elden Ring 10/10 2. HFW 7/10 3. DL2 6/10
2022: 1. Elden Ring 10/10 2. HFW 7/10 3. DL2 6/10
- Dr. Zoidberg [np]
- Cronjob of Justice
- Beiträge: 3889
- Registriert: 7. Jul 2016, 23:28
- Kontaktdaten:
Re: Schwere Sicherheitslücke im Onlinemodus von Dark Souls
Wenn überhaupt, dann kann Steam hier nur für irgendwelche Gewährleistungsansprüche herangezogen werden, ansonsten haben die damit nichts am Hut.
"I'm still tired from all the crossfit this morning" - "It's pronounced croissant and you ate 4 of them"
Re: Schwere Sicherheitslücke im Onlinemodus von Dark Souls
dann kann es theoretisch bei jedem Spiel passieren. um die Haftbarkeit geht es hier denke ich auch nicht.Dr. Zoidberg [np] hat geschrieben: ↑23. Jan 2022, 18:33Wenn überhaupt, dann kann Steam hier nur für irgendwelche Gewährleistungsansprüche herangezogen werden, ansonsten haben die damit nichts am Hut.
sondern darum die User zu schützen.
Re: Schwere Sicherheitslücke im Onlinemodus von Dark Souls
Was erwartest Du konkret von Steam?
El Psy Kongroo
- Dr. Zoidberg [np]
- Cronjob of Justice
- Beiträge: 3889
- Registriert: 7. Jul 2016, 23:28
- Kontaktdaten:
Re: Schwere Sicherheitslücke im Onlinemodus von Dark Souls
Das ist nicht Steams Aufgabe. Genauso wenig wie es die Aufgabe von Media Markt ist irgendwas zu unternehmen, wenn in den verkauften Smart-TVs irgendwelche Sicherheitslücken auftauchen.
"I'm still tired from all the crossfit this morning" - "It's pronounced croissant and you ate 4 of them"
Re: Schwere Sicherheitslücke im Onlinemodus von Dark Souls
Je nachdem könnte Steam auf Windows dafür sorgen, dass Games mit einer speziellen Benutzergruppe laufen, die damit zum Beispiel nicht mehr schreibend auf Dateien von Firefox zugreifen kann, weil sie keine Schreibrechte für die Dateien des Firefox-Besitzers hat sondern nur auf die Dateien des eigenen Spiels.
Ich merke schon, ich muss mich mal in die Windows-Benutzerkonzepte einlesen
Ich merke schon, ich muss mich mal in die Windows-Benutzerkonzepte einlesen
Re: Schwere Sicherheitslücke im Onlinemodus von Dark Souls
doch das ist genau die Aufgabe. beispielsweise müssen Supermärkte gewährleisten dass keine Ware im Sortiment ist, die bspw. gesundheitsschädigend ist (auch wenn es keine Eigenmarken sind).Dr. Zoidberg [np] hat geschrieben: ↑23. Jan 2022, 20:30Das ist nicht Steams Aufgabe. Genauso wenig wie es die Aufgabe von Media Markt ist irgendwas zu unternehmen, wenn in den verkauften Smart-TVs irgendwelche Sicherheitslücken auftauchen.
ähnlich sieht es mit deinem Mediamarkt-Beispiel aus.
viele nutzen Steam weil sie hier das Gefühl haben vor Viren und Schadsoftware einigermaßen geschützt zu sein und nicht weil sie aus Prinzip gegen Piraterie sind. sollten entsprechende Sicherheitslücken öfters bei Steam-Spielen auftauchen, wird Steam entsprechend reagieren und wird versuchen dem irgendwie vorzubeugen.
Re: Schwere Sicherheitslücke im Onlinemodus von Dark Souls
Afaik nutzt mindestens Dark Souls 1 Steamworks für den Multiplayer; das wurde irgendwann von Games for Windows Live umgestellt. Vgl. zum Beispiel: https://www.gamestar.de/artikel/dark-so ... 71171.html "Dagegen spricht auch die aufwendige Übertragung der Online-Funktionen von Games for Windows Live auf die Steamworks-Server." -- Steamworks-Dokumentation zu deren Matchmaking: https://partner.steamgames.com/doc/feat ... atchmakingDr. Zoidberg [np] hat geschrieben: ↑23. Jan 2022, 20:30Das ist nicht Steams Aufgabe. Genauso wenig wie es die Aufgabe von Media Markt ist irgendwas zu unternehmen, wenn in den verkauften Smart-TVs irgendwelche Sicherheitslücken auftauchen.
Steam/Valve scheint mir daher stärker befangen als ein Media Markt, der einen Smart TV mit schlechter Software verkauft, da sie ja wohl in dem Fall den Multiplayer serverseiting/technisch mit-ermöglichen. Allerdings wird man bei diesem Exploit hier nicht daraus ableiten können, dass es die (technische) Sorge von Valve/Steam sein sollte bzw. überhaupt sein könnte. Gewährleistungsansprüche bzw. allgemeiner Kundenschutz stehen davon ab ja im Raum, wie schon gesagt wurde.
- Dr. Zoidberg [np]
- Cronjob of Justice
- Beiträge: 3889
- Registriert: 7. Jul 2016, 23:28
- Kontaktdaten:
Re: Schwere Sicherheitslücke im Onlinemodus von Dark Souls
Die Möglichkeiten etwas im Voraus zu überprüfen sind begrenzt (auch für einen Super- oder Media Markt) und die übliche Reaktion wäre "aus dem Sortiment" nehmen. Braucht es hier ja aber gar nicht, weil die MP-Komponente ja aktuell abgeschaltet wurde - abgesehen davon hat Steam ja auch schon oft genug Spiele wieder aus dem Store geschmissen. Von Steam zu verlangen die technische Qualität zu gewährleisten ist nicht nur nicht leistbar, sondern ähnlich absurd, wie zu erwarten, dass im Supermarkt bei jedem Joghurt qualitativ hochwertige Joghortkulturen verwendet würden.
Sowas höre ich zum ersten mal, und wenn sie das tun, dann sage ich mal salopp "selber schuld", weil das mWn nirgendwo in der Form überhaupt beworben wird (und ich null verstehe, woher das überhaupt kommt).Ingoknito hat geschrieben: ↑23. Jan 2022, 20:53 viele nutzen Steam weil sie hier das Gefühl haben vor Viren und Schadsoftware einigermaßen geschützt zu sein und nicht weil sie aus Prinzip gegen Piraterie sind. sollten entsprechende Sicherheitslücken öfters bei Steam-Spielen auftauchen, wird Steam entsprechend reagieren und wird versuchen dem irgendwie vorzubeugen.
Die Nutzung einer API sagt nichts aus. Dann müsstest du in fast allen Fällen ja ebenfalls Verlangen, dass Unity oder Epic irgendwas gewährleisten, weil eine deren APIs aus der Engine genutzt wurde.Rigolax hat geschrieben: ↑23. Jan 2022, 20:57 Steam/Valve scheint mir daher stärker befangen als ein Media Markt, der einen Smart TV mit schlechter Software verkauft, da sie ja wohl in dem Fall den Multiplayer serverseiting/technisch mit-ermöglichen. Allerdings wird man bei diesem Exploit hier nicht daraus ableiten können, dass es die (technische) Sorge von Valve/Steam sein sollte bzw. überhaupt sein könnte. Gewährleistungsansprüche bzw. allgemeiner Kundenschutz stehen davon ab ja im Raum, wie schon gesagt wurde.
Um es anders zu formulieren: Wenn sich jemand ein Messer kauft und damit Leute verletzt, dann können dafür (im Normalfall) weder Verkäufer noch Hersteller belangt werden
"I'm still tired from all the crossfit this morning" - "It's pronounced croissant and you ate 4 of them"
Re: Schwere Sicherheitslücke im Onlinemodus von Dark Souls
Der Unterschied zu Unity/Epic und deren APIs in Engines ist ja, dass Steam/Valve sowohl Store sind ("Media Markt"), als auch technisch auf API/Server-Ebene involviert beim Multiplayer. Aber wie ich meinte, im Endeffekt ist es egal, weil Steam nur allgemein zuliefert und damit privilegiert ist, und das sollte auch so sein grundsätzlich.Dr. Zoidberg [np] hat geschrieben: ↑23. Jan 2022, 22:32 Die Nutzung einer API sagt nichts aus. Dann müsstest du in fast allen Fällen ja ebenfalls Verlangen, dass Unity oder Epic irgendwas gewährleisten, weil eine deren APIs aus der Engine genutzt wurde.
Ich versuch's mal so: Steam verkauft Skateboards verschiedener Hersteller und unterstützt gleichzeitig regionale Skateparks; diese Skateparks werden von Skateboard-Herstellern betrieben, aber Steam leistet essentielle technische Unterstützung.Dr. Zoidberg [np] hat geschrieben: ↑23. Jan 2022, 22:32Um es anders zu formulieren: Wenn sich jemand ein Messer kauft und damit Leute verletzt, dann können dafür (im Normalfall) weder Verkäufer noch Hersteller belangt werden
Jemand kauft ein Skateboard von der Firma From Software bei Steam und skatet in einem From-Software-Skatepark (der mit Support von Steam betrieben wird), und bricht sich dabei ein Bein, weil From Software grob fahrlässig ein gefährliches Hindernis[1] nicht entfernt hat, obwohl sie schon diverse Male darauf hingewiesen wurden; auch Steam wurde darauf schon mal hingewiesen.
[1]Zum Beispiel ein Loch im Boden, eine...Sicherheitslücke.
-
- Beiträge: 1194
- Registriert: 13. Apr 2018, 10:40
Re: Schwere Sicherheitslücke im Onlinemodus von Dark Souls
Diese ganzen Vergleiche sind relativ sinnlos, denn Software in hinreichender Komplexität wird immer Bugs haben, Bugfreiheit kann niemand garantieren. Auch in Windows, mac os, Android, Ios etc. gibt es dauernd aus der Entfernung exploitbare Fehler. Relevant ist, wie der Hersteller reagiert wenn das Problem bekannt wird und dass er sich schnell darum kümmert.
Software ist kein Skateboard.
Software ist kein Skateboard.
Re: Schwere Sicherheitslücke im Onlinemodus von Dark Souls
Korrekt.
Die in diesem Fall relevante Software, der Multiplayer-Mode, ist der Skatepark mit Loch im Boden.
-
- Beiträge: 1194
- Registriert: 13. Apr 2018, 10:40
Re: Schwere Sicherheitslücke im Onlinemodus von Dark Souls
Nein. Bugfreie Software zu garantieren ist schlicht und ergreifend nicht möglich. Und auch ein Bugfix kann neue, bisher unbekannte Probleme aufreißen. Oder erwartest du jetzt auch von Apple, keine Iphones mehr zu verkaufen weil die auch exploitbare Fehler haben (die vor wenigen Monaten sogar zum massenhaften Ausspähen von Dissidenten und Journalisten geführt haben!)
Selbe Engine, selbe Library, da gibts viele Möglichkeiten. Eine Sicherheitslücke in einer populären Library hat kürzlich einen Großteil des Internets angreifbar gemacht.Otis hat geschrieben: ↑23. Jan 2022, 17:44 Wie kann denn Elden Ring dieses Problem auch haben bzw. das schon bekannt sein? Nehmen die einfach ihr Ur-Demon's-Souls und basteln daraus ihre neuen Spiele oder was? Und das Spiel ist doch noch nicht mal erschienen, wer hat da schon was zum exploiten gefunden? (Außer die eigene QA, aber das machen die ja nicht publik.)
Re: Schwere Sicherheitslücke im Onlinemodus von Dark Souls
Habe ich doch nie behauptet. Wieso sollte ich das erwarten, wer kann das ernsthaft erwarten?Rick Wertz hat geschrieben: ↑24. Jan 2022, 01:06Nein. Bugfreie Software zu garantieren ist schlicht und ergreifend nicht möglich. Und auch ein Bugfix kann neue, bisher unbekannte Probleme aufreißen. Oder erwartest du jetzt auch von Apple, keine Iphones mehr zu verkaufen weil die auch exploitbare Fehler haben (die vor wenigen Monaten sogar zum massenhaften Ausspähen von Dissidenten und Journalisten geführt haben!)
Wie ich auch schrieb, es geht um ein gefährliches Hindernis im From-Software-Skatepark, das ggf. lange nicht entfernt wurde, "obwohl sie [From Software] schon diverse Male darauf hingewiesen wurden".
Mir ist klar, dass solche Vergleiche immer hinken, aber das war ja hier schon rhetorischer Gegenstand im Thread, bevor ich hier postete und ich wollte das mit der Analogie Skateboard/Skatepark auf eine aus meiner Sicht tatsächlich sinnvolle Ebene bringen.
-
- Beiträge: 1194
- Registriert: 13. Apr 2018, 10:40
Re: Schwere Sicherheitslücke im Onlinemodus von Dark Souls
War denn das Problem schon lange bekannt? So wie ich das sehe wissen wir erst seit zwei Tagen davon, From Software scheint mir durchaus recht schnell reagiert zu haben.
Re: Schwere Sicherheitslücke im Onlinemodus von Dark Souls
Siehe direkt der erste Post dieses Threads:Rick Wertz hat geschrieben: ↑24. Jan 2022, 01:15 War denn das Problem schon lange bekannt? So wie ich das sehe wissen wir erst seit zwei Tagen davon, From Software scheint mir durchaus recht schnell reagiert zu haben.
Ich habe dafür jetzt spontan aber keine Quelle.Lurtz hat geschrieben: ↑23. Jan 2022, 01:27 Es gibt leider einen Exploit im Online Modus von Dark Souls 3, der neben den ganzen anderen schwerwiegenden Bugs wie Savegame Corruption nun auch Remote Code Executions auf PCs ermöglicht, also sicherheitstechnisch so ziemlich der Worst Case. Der Entdecker hat From bereits seit Monaten darüber informiert, passiert ist wie so oft nichts.
Siehe auch dieser 9 Monate alte Reddit-Thread: https://www.reddit.com/r/darksouls3/com ... spreading/ ("However hacking in dark souls 3 (and games that share its engine) has the potential to not stay in a state only affecting your game and be explored further to the point of using the game to run custom code on your machine. This vulnerability has been verified privately by the developer of the blue sentinel mod and was disclosed to bandai namco several years ago. A google document about various dark souls 3 vulnerabilities by the blue sentinel developer can be found here.")
Bevor das jetzt ggf. dann noch irritiert: Mein/Ein rhetorisches Loch in einem Skatepark ist natürlich i.d.R. offenkundig für alle sichtbar. Ein Sicherheitsfehler in einer Software nicht.
Re: Schwere Sicherheitslücke im Onlinemodus von Dark Souls
Jap, das ist der Punkt der mich so sauer macht. Dieses Problem war bekannt und wurde auch gemeldet. Und anscheinend hat man einfach ewig nicht reagiert.
Jetzt ist es mal richtig hochgekocht und viele große Streamer etc. haben darauf hingewiesen und plötzlich werden die Server offline genommen und man reagiert. Das wirkt einfach extrem fahrlässig, wenn man bedenkt, was da alles passieren könnte. Und es waren dann wieder Modder die nen Fix bringen mussten...
Jetzt ist es mal richtig hochgekocht und viele große Streamer etc. haben darauf hingewiesen und plötzlich werden die Server offline genommen und man reagiert. Das wirkt einfach extrem fahrlässig, wenn man bedenkt, was da alles passieren könnte. Und es waren dann wieder Modder die nen Fix bringen mussten...