Eure Meinung: Minecraft-Logindaten

01/22/2013 23:09 ComputerBaer#1
Was willst du wissen?
Ich möchte wissen, ob ihr bereit wärt eure Minecraft-Logindaten in einem fremden System einzugeben.

"Ja", "Nein" oder "Ja, aber nur wenn ...".
Beim Letzten verlange ich aber einen Text, bei den anderen wäre es nett, muss aber nicht sein.

Wie kommt es zu dieser merkwürdigen Frage?
Ich schreibe seit einiger Zeit an einem System, dass letztendlich allen (Premium-) Minecraftservern zu Gute kommen sollen. Wie schon angedeutet, wird das System dabei nur Premium-Server und Benutzer zulassen.

Bei der Registrierung, oder um genauer zu sein, bei der Aktivierung des Accounts werden die Mincraft-/Mojang-Logindaten abgefragt, um sicher zu stellen, dass die Person im Besitzt eines Premiumaccounts ist.

Zu diese Abfrage habe ich jetzt schon von einigen Leuten die verschiedensten Meinungen gehört, weshalb ich jetzt gerne noch eure hätte.

Genauer möchte ich auf das System zur Zeit nicht eingehen. Ihr dürft gerne Fragen, aber ich werde nur auf die Fragen eingehen, bei denen ich nicht Details das Systems veröffentlichen muss.

Nachtrag 23.01.2013 - 6:30 Uhr
So, jetzt habe ich eine Nacht drüber geschlafen und drei weitere Sachen gefunden, die ich hinzufügen muss.

Als erstes möchte ich klar stellen, was ich mit "fremdes System" meine. In diesem Fall ist mit "fremdes System" alles gemeint, was nicht von Mojang selbst kommt.

Als zweites muss ich hinzufügen, dass die Website des Systems unteranderem mit einem gültigen Impressum versehen ist. Sollte ich anfangen systematisch Accounts zu klauen, was ich nicht aber tuen werde, wird es also leicht sein mich zu kontaktieren oder mehr ...

Zum Schluss noch ein Denkanstoß für alle, die sagen "ich gebe meine Daten nie wo anders ein.". Wer von euch hat denn schonmal den Magiclauncher, Spout, Tekkit oder ähnliches genutzt? Das ist letztendlich nichts anderes als mein System, weil es nicht von Mojang kommt und die Minecraft-Logindaten abfragt. (Nein, mein Ziel ist kein eigener Minecraft-Launcher)
Also warum sind die vertrauenswürdig? (Das entspricht in der Umfrage dann "Ja, aber nur wenn ...")

Nachtrag 23.01.2013 - 10:10 Uhr
Der Minecraftaccount wird innerhalb des Systems mit einem Account des Systems verknüpft, sodass der Spieler auf einem der "Mitgliedsserver" einem Account des Systems zugeordnet werden kann. Diese Zuordnung ist zwingend notwendig, weil das System ohne nutzlos wäre. (Nein, das System wird kein Bansystem)


Nachtrag 25.01.2013 - 16:20 Uhr
Ich werde mich noch um ein SSL- bzw. TLS-Zertifikat bemühen, um die Sicherheit zu erhöhen. Wenn ich eins habe wird der gesamte Account-Bereich des Systems "SSL-Pflicht" haben, in anderen Bereichen wird es wahrscheinlich optional.

Ich kann natürlich nicht versprechen, dass das System zu 100% sicher ist und keine einzige Sicherheitslücke hat. Ich kann aber soviel sagen, dass die gespeicherten Logindaten gut verschlüsselt werden. Außerdem wird das Passwort nur auf den ausdrücklichen Wunsch hin gespeichert.
(Der Benutzername ist bei einem normalen Minecraftaccount ja ohnehin öffentlich, weshalb ein Angreifer, selbst wenn er die Verschlüsselung knackt, nichts Neues erfahren würde)

Ich hätte die Frage am Anfang anders stellen sollen ... Besser gewesen wäre:
Wärt ihr bereit eure Minecraft-Logindaten in einem fremden System einzugeben, wenn euch das System interessiert / gefällt?
01/22/2013 23:48 dampfhammer96#2
Moin,

niemals seine Logindaten irgendwo angeben! Dies gilt immer... wirklich IMMER (!!!!!!). Auch wenn man der Person vertraut, vielleicht ist ja auf seinem System irgendein Schädling!

Um zu überprüfen, ob ein Account bezahlt ist kann man auch einfach die "Webapi" von Minecraft nutzen. Glaube so prüfen auch die Server, wenn diese Option für only-premium aktiviert ist, auch, ob der Spieler bezahlt hat.

Dies geht ganz einfach:
[Only registered and activated users can see links. Click Here To Register...] eingeben. Zurück bekommt man true oder false.

Tante Edit: minecraft.net ist im moment wohl down: [Only registered and activated users can see links. Click Here To Register...]
01/23/2013 06:30 ComputerBaer#3
So, jetzt habe ich eine Nacht drüber geschlafen und drei weitere Sachen gefunden, die ich hinzufügen muss.

Als erstes möchte ich klar stellen, was ich mit "fremdes System" meine. In diesem Fall ist mit "fremdes System" alles gemeint, was nicht von Mojang selbst kommt.

Als zweites muss ich hinzufügen, dass die Website des Systems unteranderem mit einem gültigen Impressum versehen ist. Sollte ich anfangen systematisch Accounts zu klauen, was ich nicht aber tuen werde, wird es also leicht sein mich zu kontaktieren oder mehr ...

Zum Schluss noch ein Denkanstoß für alle, die sagen "ich gebe meine Daten nie wo anders ein.". Wer von euch hat denn schonmal den Magiclauncher, Spout, Tekkit oder ähnliches genutzt? Das ist letztendlich nichts anderes als mein System, weil es nicht von Mojang kommt und die Minecraft-Logindaten abfragt. (Nein, mein Ziel ist kein eigener Minecraft-Launcher)
Also warum sind die vertrauenswürdig? (Das entspricht in der Umfrage dann "Ja, aber nur wenn ...")

Quote:
Originally Posted by dampfhammer96 View Post
Um zu überprüfen, ob ein Account bezahlt ist kann man auch einfach die "Webapi" von Minecraft nutzen. Glaube so prüfen auch die Server, wenn diese Option für only-premium aktiviert ist, auch, ob der Spieler bezahlt hat.

Dies geht ganz einfach:
[Only registered and activated users can see links. Click Here To Register...] eingeben. Zurück bekommt man true oder false.
Minecraftserver prüfen das anders als mit haspaid. Die Minecraftserver fragen die Sessionid ab, aber die bekommt man auch erst nach dem Einloggen.

Außerdem erfüllt haspaid mein Ziel nicht wirklich. So könnte jeder nach Lust und Laune irgendeinen Account angeben, egal ob das jetzt der eigene ist, oder der eines anderen.
01/23/2013 07:03 Howaner#4
Mach dein System lieber anders.
Lass beim Aktivieren einfach kommen: Joine bitte auf den Server ...
Beim einloggen auf dem Servwr wird man sofort gekickt und man erhält eine Nummer. Diese gibt man in die Homepage ein und wenn sie existiert wird der Account als Premium erkannt
01/23/2013 08:03 ComputerBaer#5
Quote:
Originally Posted by Howaner View Post
Lass beim Aktivieren einfach kommen: Joine bitte auf den Server ...
Beim einloggen auf dem Servwr wird man sofort gekickt und man erhält eine Nummer. Diese gibt man in die Homepage ein und wenn sie existiert wird der Account als Premium erkannt
Es wäre auch eine Möglichkeit, allerdings würde es dann meinerseits deutlich mehr Serverkapazitäten erfordnern als bisher geplant. Da ein eigener Minecraftserver für das System bisher nicht eingeplant ist.

Außerdem habe ich Pläne für weitere Features, die ein "Registrieren" eines Minecraftaccount unerlässlich machen.

Ich behalte den Vorschlag mal im Hinterkopf und warte auf weitere Meinungen.


Zum Thema "Diebstahlschutz" bin ich zurzeit am überlegen, ob ich nur Mojangaccounts zulasse, da diese durch die Sicherheitsfragen zusätzlich geschützt sind.
01/23/2013 09:31 Nussnougatcreme#6
Quote:
Originally Posted by ComputerBaer View Post

Bei der Registrierung, oder um genauer zu sein, bei der Aktivierung des Accounts werden die Mincraft-/Mojang-Logindaten abgefragt, um sicher zu stellen, dass die Person im Besitzt eines Premiumaccounts ist.
Das ist alles? Dafür würde ich meine Account Daten nicht hergeben...

Quote:
Originally Posted by ComputerBaer View Post
Wer von euch hat denn schonmal den Magiclauncher, Spout, Tekkit oder ähnliches genutzt? Das ist letztendlich nichts anderes als mein System
Nutze ich aus Prinzip nicht. Wenn es aber letztlich nichts anderes als dein System ist, erübrigt es sich doch eh...

Schreit halt nach " Dinge die die Welt nicht braucht.":rolleyes:
01/23/2013 10:01 ComputerBaer#7
Quote:
Originally Posted by Nussnougatcreme View Post
Das ist alles? Dafür würde ich meine Account Daten nicht hergeben...
Ob du es nutzt ist deine Sache. Die Entscheidung triffst alleine du.

Gut, eine Sache habe ich noch nicht dazu geschrieben. Die Information wird auch genutzt, damit der Spieler auf den "Mitgliedservern" einem Account des Systems zugeordnet werden kann. (Nein, es wird auch kein Bansystem)

Quote:
Originally Posted by Nussnougatcreme View Post
Nutze ich aus Prinzip nicht. Wenn es aber letztlich nichts anderes als dein System ist, erübrigt es sich doch eh...
Der Teil des Satzes, den du weggekürzt hast, war auch wichtig.
Der Satz sollte nicht aussagen, dass ich jetzt meinen eigenen MagicLauncher / Spout / Tekkit mache. Sondern eigentlich nur, dass ich genau wie die, die Logindaten benutze um sicherzustellen, dass es ein Premiumuser ist.

Quote:
Originally Posted by Nussnougatcreme View Post
Schreit halt nach " Dinge die die Welt nicht braucht.":rolleyes:
Wir werden sehen. Entweder es kommt an und wird genutzt oder es kommt eben nicht an und ich habe nur einige interessante Programmiererfahrungen gemacht.
01/23/2013 10:34 Nussnougatcreme#8
Quote:
Originally Posted by ComputerBaer View Post
Entweder es kommt an und wird genutzt oder es kommt eben nicht an und ich habe nur einige interessante Programmiererfahrungen gemacht.
Na dann, viel Spaß und Erfolg^^
01/23/2013 12:40 Howaner#9
Quote:
Originally Posted by ComputerBaer View Post
Es wäre auch eine Möglichkeit, allerdings würde es dann meinerseits deutlich mehr Serverkapazitäten erfordnern als bisher geplant. Da ein eigener Minecraftserver für das System bisher nicht eingeplant ist.

Außerdem habe ich Pläne für weitere Features, die ein "Registrieren" eines Minecraftaccount unerlässlich machen.

Ich behalte den Vorschlag mal im Hinterkopf und warte auf weitere Meinungen.


Zum Thema "Diebstahlschutz" bin ich zurzeit am überlegen, ob ich nur Mojangaccounts zulasse, da diese durch die Sicherheitsfragen zusätzlich geschützt sind.
Naja, dazu musst du eig. einfach nur einen Nitrado 4 Slots Server mieten.
Die 4 Euro im Monat sind nicht viel und du kannst ja die Werte in der Datenbank speichern und die von Außen verfügbar machen
01/23/2013 13:52 Mannke94#10
Ich habe mich mal für die Variante: "Ja,aber nur wenn..." entschieden.

Vorab will ich noch loswerden, dass es mitunter daran liegt, dass es von dir (Computerbaer) kommt. Du bist zumindest in meinen Augen nie negativ aufgefallen, hast mehrere tausend Posts und auch genug Thanks. Desweiteren gibst du immer hilfreiche Ratschläge und weist auch andere auf die Richtlinien hin.
Wer jetzt meint ich schleime, denkt das ruhig. Ich finde seine Arbeit hier im Forum halt gut und es wundert mich ehrlich gesagt das er nicht Moderator in dieser Sektion ist.

Nun zum "aber wenn..."
Ich hab im Prinzip absolut etwas dagegen meine Login Daten weiterzugeben, aber ich wäre bereit dies einmal zu tuen, da ich im Gegenzug ja auch etwas erhalte. (Bin Serverbesitzer)

Ein entscheidener Punkt, mit Ausnahme eines sauber geführten Impressum, würde mich aber vollends überzeugen. Nähmlich wenn sein System eine gewisse Aktzeptanz von Minecraft.net oder Mojang bekäme, sodass man als Verbraucher sicherstellen kann, dass keinerlei Einwände oder Bedenken der Spielanbieter vorliegen.


Soviel von mir dazu.
01/23/2013 15:12 Awerox#11
Ich würde es nur tuen, wen dort irgendwo eine Bescheinigung/Bestätigung von Mojang wäre, das dieses Programm etc. sicher ist.
Da dies aber Mojang nie machen wird, würde ich es also auch nie machen...
01/23/2013 15:13 ComputerBaer#12
Quote:
Originally Posted by Mannke94 View Post
Ich finde seine Arbeit hier im Forum halt gut und es wundert mich ehrlich gesagt das er nicht Moderator in dieser Sektion ist.
Um ehrlich zu sein ... ich konnte mich bisher nicht aufraffen und eine Bewerbung schreiben. Den Gedanken mich als Moderator zu bewerben hatte ich auch schon, außerdem wurde mir auch schon von einem Moderato vorgeschlagen mich als Guard zu bewerben.

Quote:
Originally Posted by Mannke94 View Post
Ich hab im Prinzip absolut etwas dagegen meine Login Daten weiterzugeben, aber ich wäre bereit dies einmal zu tuen, da ich im Gegenzug ja auch etwas erhalte. (Bin Serverbesitzer)
Da kann mich wohl erstmal nur für das Vertrauen bedanken. Ich glaube wenn das System erstmal läuft und ich Details veröffentliche, dann wird auch die Zahl der Interessentan stark steigen.

Ich werde dich vermutlich kontaktieren, sobald das System einen Betastatus erreicht hat. Dann darfst du es gerne mit testen.

Quote:
Originally Posted by Mannke94 View Post
Nähmlich wenn sein System eine gewisse Aktzeptanz von Minecraft.net oder Mojang bekäme, sodass man als Verbraucher sicherstellen kann, dass keinerlei Einwände oder Bedenken der Spielanbieter vorliegen.
Das wird am Anfang wohl noch nciht der Fall sein, aber was nicht ist kann ja auch noch werden.
01/24/2013 17:57 ComputerBaer#13
Ich hätte gerne noch weitere Meinungen und Ideen für alternative Umsetzungen.
01/24/2013 18:59 .CHHorny#14
Bei sowas bin ich immer Skeptisch.

Das ganze in Source zu posten dann wäre besser dann.
01/24/2013 19:24 ComputerBaer#15
Gut, OpenSource schafft sicherlich etwas Vertrauen.

Dazu kann ich aber nur sagen, dass das System nicht OpenSource sein wird und es höchst wahrscheinlich auch nie sein wird. Spätesten wenn ich es veröffentlich sollte allen klar sein, warum das so ist.

Jetzt könnte man sagen "dann leg doch nur den Teil mit dem MinecraftAccount offen", aber das kann ich auch nicht machen, weil ich damit auch Teile des Sicherheitssystems offenlegen würde und das sollte selbstverständlich nicht geschehen.