Register for your free account! | Forgot your password?

Go Back   elitepvpers > Popular Games > World of Warcraft > WoW Private Server
You last visited: Today at 09:30

  • Please register to post and access all features, it's quick, easy and FREE!

Advertisement



[Warnung] Legion Server loggen das User Password

Discussion on [Warnung] Legion Server loggen das User Password within the WoW Private Server forum part of the World of Warcraft category.

Reply
 
Old   #1
 
elite*gold: 700
Join Date: Aug 2017
Posts: 174
Received Thanks: 24
[Warnung] Legion Server loggen das User Password

Hallo zusammen,

dies ist eine allgemeine Warnung, TrinityCore hat ein Logging eingebaut, das es erlaubt die Passwörter aller User im Klartext auszulesen.

Quote:
POST /bnetserver/login/ HTTP/1.1
Host: XX.XX.XX.XX:8081
Accept-Language: de-DE
Accept: application/json;charset=utf-8
Content-type: application/json;charset=utf-8
Cookie: JSESSIONID=
Device-Id: { "RGKY" : 313730401, "CPGE" : 2290226472, "ULNG" : 2069013116, "SLNG" : 2069013116, "CNME" : 3501952989, "UNME" : 2438509298, "UTCO" : 367583803, "CARC" : 1007465396, "CREV" : 798680979, "CLVL" : 2364708844, "PMEM" : 4292520249, "PSZE" : 2709935546, "OVER" : 3117067717, "CVRA" : 692413807, "CFTC" : 384854359, "CFTD" : 3153620279, "CEFC" : 525970562, "CEFD" : 1259323440, "CBRD" : 4289487017, "CVEN" : 1262429830, "ANME" : 4207982001, "ADSC" : 268457395, "MAC" : 2130414127 }
User-Agent: Mozilla/4.0
Content-Length: 173

{"inputs":[{"input_id":"account_name","value":"tenchuu@***-network.de"},{"input_id":"password","value":"XXXXX XXXX"}],"platform_id":"Wn64","program_id":"WoW","version" :"1.0"}GET /bnetserver/login/ HTTP/1.1
Host: XX.XX.XX.XX:8081
Accept: application/json;charset=UTF-8
Accept-Language: de-DE
User-Agent: Mozilla/4.0
Um hinterher nicht im Rampenlicht von sogenannten Phishern zu stehen, die aus Langeweile zwecks Phishing Server erstellen, sollte hier ein ganz eigenes und nur für den WoW Server geeignetes Passwort verwendet werden.
Lucky_Patcher is offline  
Thanks
1 User
Old 03/16/2018, 20:42   #2
 
./tkz's Avatar
 
elite*gold: 13
Join Date: Sep 2014
Posts: 164
Received Thanks: 55
Krass, danke für die Info
./tkz is offline  
Old 03/16/2018, 20:52   #3
 
elite*gold: 700
Join Date: Aug 2017
Posts: 174
Received Thanks: 24
Nachtrag, das Logging kommt vom gSOAP, ich werde mal die Entwickler anschreiben! Geht nicht.
Lucky_Patcher is offline  
Old 03/16/2018, 20:53   #4
 
elite*gold: 0
Join Date: Aug 2012
Posts: 8
Received Thanks: 2
Wir lernen dann bitte alle nochmal lesen. Das ist nicht Teil von TrinityCore an sich, sondern von dem Dependency gsoap. Außerdem ist es ausschließlich für Debuggingzwecke. Zu dem ist es mit Leichtigkeit möglich Passwörter im Server abzufangen, davon mal ab (Stichwort: Account Erstellung). Also blame lieber gsoap und nicht Trinity. Zudem darfste auch direkt Blizzard blamen, da die PWs nicht direkt im Client hashed werden, sondern erst am Server. HTTPS bringt da auch nix.
Xaiunay is offline  
Thanks
2 Users
Old 03/16/2018, 20:55   #5
 
elite*gold: 700
Join Date: Aug 2017
Posts: 174
Received Thanks: 24
Quote:
Originally Posted by Xaiunay View Post
Wir lernen dann bitte alle nochmal lesen. Das ist nicht Teil von TrinityCore an sich, sondern von dem Dependency gsoap. Außerdem ist es ausschließlich für Debuggingzwecke. Zu dem ist es mit Leichtigkeit möglich Passwörter im Server abzufangen, davon mal ab (Stichwort: Account Erstellung). Also blame lieber gsoap und nicht Trinity. Zudem darfste auch direkt Blizzard blamen, da die PWs nicht direkt im Client hashed werden, sondern erst am Server. HTTPS bringt da auch nix.
Beides trifft zu!
Lucky_Patcher is offline  
Old 03/16/2018, 21:23   #6
 
Kaev <3's Avatar
 
elite*gold: 110
Join Date: Mar 2008
Posts: 856
Received Thanks: 388
Quote:
Originally Posted by Xaiunay View Post
Wir lernen dann bitte alle nochmal lesen. Das ist nicht Teil von TrinityCore an sich, sondern von dem Dependency gsoap. Außerdem ist es ausschließlich für Debuggingzwecke. Zu dem ist es mit Leichtigkeit möglich Passwörter im Server abzufangen, davon mal ab (Stichwort: Account Erstellung). Also blame lieber gsoap und nicht Trinity. Zudem darfste auch direkt Blizzard blamen, da die PWs nicht direkt im Client hashed werden, sondern erst am Server. HTTPS bringt da auch nix.
Der WoW-Client (zumindest WotLk, wie es in den anderen Versionen aussieht weiß ich nicht) benutzt zur Authentifizierung SRP-6, dabei sollte das Passwort doch gar nicht versendet werden, oder irre ich mich da gerade?
Kaev <3 is offline  
Old 03/16/2018, 22:48   #7
 
elite*gold: 700
Join Date: Aug 2017
Posts: 174
Received Thanks: 24
Trinity hat dem nun ein wenig entgegen gewirkt.



Auch werde ich gSOAP noch eine Nachricht dessen bezüglich zukommen lassen. Und in Legion wird das Passwort erst am Server selber verschlüsselt.
Lucky_Patcher is offline  
Old 03/20/2018, 14:22   #8
 
Livux's Avatar
 
elite*gold: 1
Join Date: Aug 2011
Posts: 13
Received Thanks: 2
Danke!
Livux is offline  
Old 03/20/2018, 20:46   #9
 
elite*gold: 20
Join Date: Feb 2015
Posts: 93
Received Thanks: 31
Danke für die Information. Wer sein richtiges Passwort bei Privat Servern angibt hat aber auch eigentlich selber schuld sowas macht man nicht da kein Privatserver so sicher ist wie z.b die Seite eures Online Banking oder PayPal o.ä da jeder heutzutage dank google eine HTTPS Seite haben kann zudem sitzt bei Privat Servern IMMER eine Privatperson dahinter und einer Privatperson ohne Kontaktdatenangabe kann man NICHT verfolgen. (Auf Legalem wege)
SenixHD is offline  
Old 03/22/2018, 06:14   #10
 
elite*gold: 0
Join Date: Mar 2018
Posts: 7
Received Thanks: 0
Thanks for info
Palivion is offline  
Reply


Similar Threads Similar Threads
Loggen die Server eure Logins?
07/08/2011 - WarRock - 8 Replies
Hallo, also ich wollte mal fragen ob die Server eure Daten Loggen also in welchem Server ihr wart. Sprich ihr wart auf dem D2 Server macht der Server dann Logfiles?
Wenn ich mich bei CSS auf nem server loggen will Steht Da:
10/20/2010 - Counter-Strike - 5 Replies
Das ich irgendwie eine ältere version als der server hab.....habe den Patch 18 aber woher kriegt man die anderen? Thanks im Vorraus



All times are GMT +1. The time now is 09:30.


Powered by vBulletin®
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
SEO by vBSEO ©2011, Crawlability, Inc.
This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.

Support | Contact Us | FAQ | Advertising | Privacy Policy | Terms of Service | Abuse
Copyright ©2024 elitepvpers All Rights Reserved.