|
You last visited: Today at 09:30
Advertisement
[Warnung] Legion Server loggen das User Password
Discussion on [Warnung] Legion Server loggen das User Password within the WoW Private Server forum part of the World of Warcraft category.
03/16/2018, 20:41
|
#1
|
elite*gold: 700
Join Date: Aug 2017
Posts: 174
Received Thanks: 24
|
[Warnung] Legion Server loggen das User Password
Hallo zusammen,
dies ist eine allgemeine Warnung, TrinityCore hat ein Logging eingebaut, das es erlaubt die Passwörter aller User im Klartext auszulesen.
Quote:
POST /bnetserver/login/ HTTP/1.1
Host: XX.XX.XX.XX:8081
Accept-Language: de-DE
Accept: application/json;charset=utf-8
Content-type: application/json;charset=utf-8
Cookie: JSESSIONID=
Device-Id: { "RGKY" : 313730401, "CPGE" : 2290226472, "ULNG" : 2069013116, "SLNG" : 2069013116, "CNME" : 3501952989, "UNME" : 2438509298, "UTCO" : 367583803, "CARC" : 1007465396, "CREV" : 798680979, "CLVL" : 2364708844, "PMEM" : 4292520249, "PSZE" : 2709935546, "OVER" : 3117067717, "CVRA" : 692413807, "CFTC" : 384854359, "CFTD" : 3153620279, "CEFC" : 525970562, "CEFD" : 1259323440, "CBRD" : 4289487017, "CVEN" : 1262429830, "ANME" : 4207982001, "ADSC" : 268457395, "MAC" : 2130414127 }
User-Agent: Mozilla/4.0
Content-Length: 173
{"inputs":[{"input_id":"account_name","value":"tenchuu@***-network.de"},{"input_id":"password","value":"XXXXX XXXX"}],"platform_id":"Wn64","program_id":"WoW","version" :"1.0"}GET /bnetserver/login/ HTTP/1.1
Host: XX.XX.XX.XX:8081
Accept: application/json;charset=UTF-8
Accept-Language: de-DE
User-Agent: Mozilla/4.0
|
Um hinterher nicht im Rampenlicht von sogenannten Phishern zu stehen, die aus Langeweile zwecks Phishing Server erstellen, sollte hier ein ganz eigenes und nur für den WoW Server geeignetes Passwort verwendet werden.
|
|
|
03/16/2018, 20:42
|
#2
|
elite*gold: 13
Join Date: Sep 2014
Posts: 164
Received Thanks: 55
|
Krass, danke für die Info
|
|
|
03/16/2018, 20:52
|
#3
|
elite*gold: 700
Join Date: Aug 2017
Posts: 174
Received Thanks: 24
|
Nachtrag, das Logging kommt vom gSOAP, ich werde mal die Entwickler anschreiben! Geht nicht.
|
|
|
03/16/2018, 20:53
|
#4
|
elite*gold: 0
Join Date: Aug 2012
Posts: 8
Received Thanks: 2
|
Wir lernen dann bitte alle nochmal lesen. Das ist nicht Teil von TrinityCore an sich, sondern von dem Dependency gsoap. Außerdem ist es ausschließlich für Debuggingzwecke. Zu dem ist es mit Leichtigkeit möglich Passwörter im Server abzufangen, davon mal ab (Stichwort: Account Erstellung). Also blame lieber gsoap und nicht Trinity. Zudem darfste auch direkt Blizzard blamen, da die PWs nicht direkt im Client hashed werden, sondern erst am Server. HTTPS bringt da auch nix.
|
|
|
03/16/2018, 20:55
|
#5
|
elite*gold: 700
Join Date: Aug 2017
Posts: 174
Received Thanks: 24
|
Quote:
Originally Posted by Xaiunay
Wir lernen dann bitte alle nochmal lesen. Das ist nicht Teil von TrinityCore an sich, sondern von dem Dependency gsoap. Außerdem ist es ausschließlich für Debuggingzwecke. Zu dem ist es mit Leichtigkeit möglich Passwörter im Server abzufangen, davon mal ab (Stichwort: Account Erstellung). Also blame lieber gsoap und nicht Trinity. Zudem darfste auch direkt Blizzard blamen, da die PWs nicht direkt im Client hashed werden, sondern erst am Server. HTTPS bringt da auch nix.
|
Beides trifft zu!
|
|
|
03/16/2018, 21:23
|
#6
|
elite*gold: 110
Join Date: Mar 2008
Posts: 856
Received Thanks: 388
|
Quote:
Originally Posted by Xaiunay
Wir lernen dann bitte alle nochmal lesen. Das ist nicht Teil von TrinityCore an sich, sondern von dem Dependency gsoap. Außerdem ist es ausschließlich für Debuggingzwecke. Zu dem ist es mit Leichtigkeit möglich Passwörter im Server abzufangen, davon mal ab (Stichwort: Account Erstellung). Also blame lieber gsoap und nicht Trinity. Zudem darfste auch direkt Blizzard blamen, da die PWs nicht direkt im Client hashed werden, sondern erst am Server. HTTPS bringt da auch nix.
|
Der WoW-Client (zumindest WotLk, wie es in den anderen Versionen aussieht weiß ich nicht) benutzt zur Authentifizierung SRP-6, dabei sollte das Passwort doch gar nicht versendet werden, oder irre ich mich da gerade?
|
|
|
03/16/2018, 22:48
|
#7
|
elite*gold: 700
Join Date: Aug 2017
Posts: 174
Received Thanks: 24
|
Trinity hat dem nun ein wenig entgegen gewirkt.
Auch werde ich gSOAP noch eine Nachricht dessen bezüglich zukommen lassen. Und in Legion wird das Passwort erst am Server selber verschlüsselt.
|
|
|
03/20/2018, 14:22
|
#8
|
elite*gold: 1
Join Date: Aug 2011
Posts: 13
Received Thanks: 2
|
Danke!
|
|
|
03/20/2018, 20:46
|
#9
|
elite*gold: 20
Join Date: Feb 2015
Posts: 93
Received Thanks: 31
|
Danke für die Information. Wer sein richtiges Passwort bei Privat Servern angibt hat aber auch eigentlich selber schuld sowas macht man nicht da kein Privatserver so sicher ist wie z.b die Seite eures Online Banking oder PayPal o.ä da jeder heutzutage dank google eine HTTPS Seite haben kann zudem sitzt bei Privat Servern IMMER eine Privatperson dahinter und einer Privatperson ohne Kontaktdatenangabe kann man NICHT verfolgen. (Auf Legalem wege)
|
|
|
03/22/2018, 06:14
|
#10
|
elite*gold: 0
Join Date: Mar 2018
Posts: 7
Received Thanks: 0
|
Thanks for info
|
|
|
Similar Threads
|
Loggen die Server eure Logins?
07/08/2011 - WarRock - 8 Replies
Hallo,
also ich wollte mal fragen ob die Server eure Daten Loggen also in welchem Server ihr wart.
Sprich ihr wart auf dem D2 Server macht der Server dann Logfiles?
|
Wenn ich mich bei CSS auf nem server loggen will Steht Da:
10/20/2010 - Counter-Strike - 5 Replies
Das ich irgendwie eine ältere version als der server hab.....habe den Patch 18 aber woher kriegt man die anderen? Thanks im Vorraus
|
All times are GMT +1. The time now is 09:30.
|
|