# Das Keylogger Problem



## TvP1981 (31. März 2009)

Also mal ehrlich, so langsam nerven Seiten, die versprechen Mounts zu erhalten, Euren Account upzugraden etc. 
Es ist schon eine Frechheit, mit welch krimineller Energie hier besonders bei WoW-Accounts rangegangen wird.

Man nehme nur gerade den Nutzer *Lawlomat*. Postet hier 2 Themen mit Keyloggern, die leider Gottes mehrere Minuten offen sind, folglich auch durch jeden einsehbar waren.. Das schlimme daran, man erkennt als Laie nicht, dass es sich um schadhafte Seiten handelt. 

Deshalb fordere ich hier Buffed.de auf, das Forum entsprechend zu ändern. Links, die zu externen Seiten verweisen sollten per Leave-Seite nochmal direkt angezeigt werden, in kompletter URL. Eine farbliche Unterscheidung, der Domainänderung könnte auch helfen, schnell zu erkennen, dass es sich um Schadseiten handeln könnte. 

Jedoch sehe ich eindeutig eine Sicherheitslücke , die Buffed.de bzw. im speziellen das Forum betrifft und die auf einfachste Art geschlossen werden könnte. 
Die Lösung: Den BB-Code Preg-Match ändern.

Erzählt jetzt nicht, jeder ist selbst schuld, der auf die Links klickt. 
Als Beispiel hierfür möchte ich anmerken, dass Banker auf Phishingmails, 
die Probleme Ihrer eigenen Bank sugerierten reinfielen.
Vielmehr ist der Betreiber hier gefordert, solche Lücken schnellstmöglich zu schließen oder
es solch krimineller Energie zu erschweren.

Ich hoffe auf positive Resonanz aus der WoW-Gemeinde und hoffe, dass das Buffed Team uns schnell erhört.


----------



## Kronas (31. März 2009)

jop, die buffed mods sollten die url mal auf die 'schwarze liste' setzen (vermute, dass es sowas gibt, da zB pennergame links automatisch zu buffed verweisen)


----------



## Hairman (31. März 2009)

TvP1981 schrieb:


> Das schlimme daran, man erkennt als Laie nicht, dass es sich um schadhafte Seiten handelt.



Aha.
Man erkennt also nicht, dass es ein Fake ist, wenn mir einer ein Mount schenken will. Oder das nächste unangekündigte Addon jetzt schon zum herunterladen anbietet. Man muss sich ja nur mal kurz einloggen, auf einer Seite die in der Adressleiste mehr Sonderzeichen als Buchstaben enthält. Wer zur HÖLLE soll DARAUF hereinfallen?

Mit ein wenig Menschenverstand sollte man doch schon darauf kommen, dass einem nichts geschenkt wird und sich wenigstens an einen der 82706356 Warnhinweise erinnern die einem hier rechts und links um die Ohren gehauen werden.

Man erkennt es durchaus, und wer nicht spätestens bei der Angabe seiner Accountdaten stutzig wird, hat es nicht anders verdient.
Und ganz ehrlich, da oben hängen 1-2 Stickys zum Thema, auf sämtlichen Foren wird davor gewarnt, selbst auf der WoW-Loginseite steht ne Notiz dazu. Keine Notwendigkeit, gleich 2 Themen hier im Forum zum Diskutieren aufzumachen.


----------



## TvP1981 (31. März 2009)

Eine Blacklist hilf aber nur, wenn man bereits die Domain kennt.
Eine Leave-Seite würde dem Nutzer aber zeigen, schau dir den Link an.
Willst du da wirklich hin?

Zumal man die Domainendung sogar noch einfärben könnte.
Das ganze gleich noch mit ner Meldenfunktion, dass wenn so ne Seite sofort gemeldet wird, 
der Link gar nicht mehr angezeigt oder gesperrt wird.

Es gibt da soviele Möglichkeiten..


----------



## Murky&Lurky (31. März 2009)

Bin ich ganz deiner Meinung das Buffed.de da mal was tun sollte. Es war wirklich so das in den letzten Wochen doch einige Keylogger Threats eöffnet wurden und teilweise erst nach ungf 5-6 Minuten geschlossen wurden.

Deine Lösung klingt auch ganz gut mal abwarten was die "Admins" dazu sagen, sind ja auch nur Menschen und können nicht unbedingt SOOO schnell reagieren und ja das mit auf eine andere Seite linken hmm..... müsste man doch mal drüber nachdenken (kann sein das ich´s´zu schnell überflogen hab/oder auch falsch interpretiert wurde) 


			Dieser Inhalt steht nur eingeloggten Mitgliedern zur Verfügung.
        

.

Mfg Murky & Lurky

Ps: Rechtschreibefehler dürft ihr selbstverständlich behalten  


			Dieser Inhalt steht nur eingeloggten Mitgliedern zur Verfügung.


----------



## TvP1981 (31. März 2009)

Hairman schrieb:


> Man muss sich ja nur mal kurz einloggen, auf einer Seite die in der Adressleiste mehr Sonderzeichen als Buchstaben enthält.



Solche Seiten erkennt man leider nicht auf den ersten Blick, da der Link ja maskiert wird. 
Deshalb die Lösung: Leave-Seite


----------



## jay390 (31. März 2009)

Muss ich dir absolut recht geben. Es gibt ja auf vielen Seiten eine solche leaving page auf der dann ein Dialogfeld aufgeht auf dem dann zB. Sind Sie sicher, dass sie auf diese Seite wollen. Ja oder Nein, steht

Ich hab da eig. noch nie so richtig drüber nachgedacht, aber wenn man jetzt ein paar Artikel hier zu diesem Thema liest, wird einem ganz schlecht 


			Dieser Inhalt steht nur eingeloggten Mitgliedern zur Verfügung.
        

 Sicher gibts Links die man sofort als fake erkennt, aber leider auch viele die man eben nicht so leicht erkennt, als Laie versteht sich. 


			Dieser Inhalt steht nur eingeloggten Mitgliedern zur Verfügung.


----------



## TvP1981 (31. März 2009)

Ja und das Problem ist, das solche Seiten doch noch recht schlecht gemacht werden.
Und das schon selbige ausreichen, den Nutzer zu schädigen.

Schade auch, das der Blizz-Authenticator gerade nicht bestellbar ist. 
Das Ding kann ich nur jedem empfehlen.


----------



## Hotgoblin (31. März 2009)

Mit ein wenig Verstand sollte
man doch wissen das man Mounts
oder andere Sachen nicht einfach so 
von anderen Webseiten bekommen kann etc.

Es ist doch sonnenklar das es Keylogger oder eine
ähnliche Methode ist.


----------



## TvP1981 (31. März 2009)

Letztens gabs doch noch den lustigen Beitrag, 
HILFE ICH HABE MEINEN ACCOUNT VERLOREN.

oder er wurde gehackt.. 
Da sieht man das es geht. 
Nicht jeder ist tief in der Materie drin und viele sehr naiv.

Es ist ja auch dann eine Haftungsfrage.

HA, hab den Beitrag: http://www.buffed.de/forum/index.php?showt...p;#entry1590710


----------



## Ahramanyu (31. März 2009)

Murky&Lurky schrieb:


> Bin ich ganz deiner Meinung das Buffed.de da mal was tun sollte. Es war wirklich so das in den letzten Wochen doch einige Keylogger Threats eöffnet wurden und teilweise erst nach ungf 5-6 Minuten geschlossen wurden.


Eine Löschung der Themen nach maximal 5 Minuten wird also nicht als ausreichend angesehen? Hinweise über diese Art von Seiten auch nicht?
Aber gut, es existiert ein Problem mit diesen Seiten, das gebe ich zu.



> Erzählt jetzt nicht, jeder ist selbst schuld, der auf die Links klickt.


Hm, doch. Und vor allem derjenige, der auf diesen Seiten seine Accountdaten angibt.



> Deshalb fordere ich hier Buffed.de auf, das Forum entsprechend zu ändern. Links, die zu externen Seiten verweisen sollten per Leave-Seite nochmal direkt angezeigt werden, in kompletter URL. Eine farbliche Unterscheidung, der Domainänderung könnte auch helfen, schnell zu erkennen, dass es sich um Schadseiten handeln könnte.


Ist ein Vorschlag, den man unterstützen kann. Ich darf mir so etwas vorstellen wie in den offiziellen WoW-Foren? Schwer zu sagen, ob dies technisch möglich ist mit dieser Forensoftware.


----------



## TvP1981 (31. März 2009)

Ahramanyu schrieb:


> Ist ein Vorschlag, den man unterstützen kann. Ich darf mir so etwas vorstellen wie in den offiziellen WoW-Foren? Schwer zu sagen, ob dies technisch möglich ist mit dieser Forensoftware.



Denke schon, dass dies möglich ist. Letztlich heißt es nur, eine Funktionen, die beim Parsen des BB-Codes den Link prüft und wenn dieser nicht nach Buffed.de führt eine Leave Seite einzublenden.

php.net/preg_replace_callback

Dürfte das Problem der Vergangenheit angehören lassen.
Die Callback-Funktion prüft dabei, ob der Link zur Buffed-Comm gehört.


----------



## Murky&Lurky (31. März 2009)

Ja ich gebe dir Recht Ahramanyu, 5 Minuten sind schon ganz ok. Nur das Problem ist das gegen Mittag doch recht viele Leute online sind und sich auch aktuellen Themen zuwenden.
Viele Leute gucken auch einfach gern mal in Threats rein oder klicken (dummer Weise, unbedacht) auf solche Links die Keylogger o.ä. enthalten können(klar ist das eigene Schuld, aber was will man machen). Ist klar das man mit mehr Admins das Problem auch nicht beheben könnte deshalb wären doch diese "LeaveSeiten" eine ganz gute Idee. Das will ich mit meinem vorherigen Post damit sagen.
Hoffe es schreiben noch ein paar Leute zu dem Problem.

Mfg Murky & Lurky

Ps: Wenn ihr Rechtschreibefehler findet dürft ihr sie auch behalten  


			Dieser Inhalt steht nur eingeloggten Mitgliedern zur Verfügung.


----------



## neo1986 (31. März 2009)

Buffed ist nur so sicher wie der benutzer intilligent ist (oder so ihr wisst schon 


			Dieser Inhalt steht nur eingeloggten Mitgliedern zur Verfügung.
        

)

Bin gegen höhere sicherheitsmassnamen weil jeder auch lernen muss was fake, keylogger, phishing, virus....... ist und was nicht.


----------



## ZAM (31. März 2009)

TvP1981 schrieb:


> Denke schon, dass dies möglich ist. Letztlich heißt es nur, eine Funktionen, die beim Parsen des BB-Codes den Link prüft und wenn dieser nicht nach Buffed.de führt eine Leave Seite einzublenden.
> 
> php.net/preg_replace_callback



Wir brauchen in dem Fall keine Tipps zum "How to in PHP". Trotzdem danke. ;-)
Es gibt einige Faktoren, die bei einer Änderung dieser Art zusammentreffen und berücksichtigt werden müssen. Das Replacement der Foren-SDK ist beispielsweise nicht nur im Forum aktiv. Fragen sind zu klären wie: Stören Vorschaltseiten zu externen Links die User? Müssen bestimmte interne Dinge berücksichtigt werden? etc. Und interner Klärungsbedarf zu einigen Bereichen ist ebenfalls notwendig.

Die Umsetzung selbst, ist das kleinste Problem.


----------



## ZAM (31. März 2009)

Funktion ist eingebaut. 

Buffed-Links werden direkt aufgerufen - alles andere über eine Hinweisseite geroutet. 


			Dieser Inhalt steht nur eingeloggten Mitgliedern zur Verfügung.
        

 

Das funktioniert nicht rückwirkend für alte eingefügte Beiträge, aber für alle Neuen.

Beispiel: http://php.net/preg_replace_callback


Warum das so schnell ging? Weil uns diese Pisher-Idioten genau so nerven wie Euch.


----------



## LordofDemons (31. März 2009)

extrem geil es funktioniert 


			Dieser Inhalt steht nur eingeloggten Mitgliedern zur Verfügung.
        





			Dieser Inhalt steht nur eingeloggten Mitgliedern zur Verfügung.
        

 lang lebe ZAM


----------



## Tikume (31. März 2009)

Wem bisher egal war was er geklickt hat der wird es sich auch jetzt nicht mehr überlegen.
Und Hinweismeldungen stumpfen schnell ab wenn sie jedes Mal kümmern.

Aber wer ohne NoScript unterwegs ist und alles ohne zu überlegen anklickt hat den Accounthack irgendwie wohl verdient 


			Dieser Inhalt steht nur eingeloggten Mitgliedern zur Verfügung.


----------



## Dracun (1. April 2009)

righty right Tikume 


			Dieser Inhalt steht nur eingeloggten Mitgliedern zur Verfügung.
        



i sehe es ähnlich Tikume 


			Dieser Inhalt steht nur eingeloggten Mitgliedern zur Verfügung.
        

 aber trotz alledem finde ich die Variante richtig gut ....hab ihr fein gemacht liebe buffies ihr kriegt auch en paar kekse 


			Dieser Inhalt steht nur eingeloggten Mitgliedern zur Verfügung.
        

 mal schaun vllt bringe ich euch welche zur RPC mit 


			Dieser Inhalt steht nur eingeloggten Mitgliedern zur Verfügung.


----------



## ZAM (1. April 2009)

Die kleinen Bugs beim editieren etc. sind auch behoben. 


			Dieser Inhalt steht nur eingeloggten Mitgliedern zur Verfügung.


----------



## TvP1981 (1. April 2009)

Super,

habe es gerade getestet.. 
Und es funktioniert..

Dank an euch, dass ihr das so schnell umgesetzt habt.

@Tikume, auch ich benutze NoScript etc.. 
Kenn aber auch genügend Leute, 
die mit dem Standart Internet Explorer rumlaufen und 
noch nie nen Mittwochs Update durchgeführt haben.

Traurig aber wahr 


			Dieser Inhalt steht nur eingeloggten Mitgliedern zur Verfügung.


----------



## Hairman (1. April 2009)

Hab grad die Seite das erste Mal gehabt, und muss euch loben.
Schaut gut aus, habt ihr gut gemacht, auch wenn ich eher Tikumes Meinung bin.


----------



## Black_Seraph (1. April 2009)

_Seit anbeginn der Zeit versuchen Programmierer immer effizientere, idiotensichere Systeme zu Programmieren.
Als Gegenmaßname versucht das Universum immer effizientere Idioten zu erschaffen.

Bis dato liegt das Universum vorne._



Damit will ich ausdrücken:
Ich halte diese Maßnahme nicht für nötig, sondern eher für lästig. Zum schutze weniger muss die Masse aber wohl oder übel zurückstecken.


----------



## Dalmus (1. April 2009)

Black_Seraph schrieb:


> Damit will ich ausdrücken:
> Ich halte diese Maßnahme nicht für nötig, sondern eher für lästig. Zum schutze weniger muss die Masse aber wohl oder übel zurückstecken.


Ist generell mit Sicherheitsmaßnahmen so.
Wieviele Leute legen täglich den Sicherheitsgurt an und bei wievielen davon wird er gebraucht?

Man muß Risiken gegen Bequemlichkeit abwägen und ich denke, daß in diesem Fall die richtige Entscheidung getroffen wurde. 


			Dieser Inhalt steht nur eingeloggten Mitgliedern zur Verfügung.


----------



## TvP1981 (2. April 2009)

Dalmus schrieb:


> Ist generell mit Sicherheitsmaßnahmen so.
> Wieviele Leute legen täglich den Sicherheitsgurt an und bei wievielen davon wird er gebraucht?
> 
> Man muß Risiken gegen Bequemlichkeit abwägen und ich denke, daß in diesem Fall die richtige Entscheidung getroffen wurde.
> ...


/sign


----------



## cM2003 (2. April 2009)

Es gibt kein Problem mit Keyloggern, ist gibt nur ein Problem mit Usern die blöd genug sind sich einen einzufangen.
Jede Sicherheits-Software bietet mittlerweile proactiven Schutz, was es nahezu unmöglich macht sich einen Keylogger, Virus oder Trojaner "automatisch" einzufangen.
Wer immer noch meint eine standardmäßige Routerfirewall, z.B. die der FritzBox, würde reichen isn Depp -.-


----------



## Dracun (2. April 2009)

cM2003 schrieb:


> Es gibt kein Problem mit Keyloggern, ist gibt nur ein Problem mit Usern die blöd genug sind sich einen einzufangen.
> Jede Sicherheits-Software bietet mittlerweile proactiven Schutz, was es nahezu unmöglich macht sich einen Keylogger, Virus oder Trojaner "automatisch" einzufangen.
> *Wer immer noch meint eine standardmäßige Routerfirewall*, z.B. die der FritzBox, würde reichen isn Depp -.-


hmm natürlich noch en gutes AV Prog (NOD32) doch reicht vollkommen....RouterFW (natürlich entsprechend konfiguriert), NOD32 und brain.exe auf Betrieb gebracht udn seit 2 Jahren keine Viren mehr gehabt .. also doch eine Gute RouterFW macht schon einiges her ... die Windoof FW kannm an so wie sie is in die Tonne kloppen... i glaub noch mehr Löcher hat nur ein Schweizer Käse und von div. Software FW halte i auch net viel..pers Erfahrung 


			Dieser Inhalt steht nur eingeloggten Mitgliedern zur Verfügung.
        

 und ja i bin auf div. Warez-Sites sowie AL-Sites unterwegs 


			Dieser Inhalt steht nur eingeloggten Mitgliedern zur Verfügung.


----------



## Huntermoon (3. April 2009)

Naja, gute Idee, eigentlich, doch sollte man ab ner bestimmten anzahl von post/ zeit nach der registrirung die option erhalten, ohne zwischenseite das forum zu verlassen...


----------



## Arocareth (4. April 2009)

@Huntermoon: Wieso soll man das mit Posts verknüpfen? So quasi als Belohnung? Ist doch ein Sicherheits-Service von Buffed.de
Falls du es tatsächlich deaktivieren willst, wäre eine für alle sichtbare Einstellung im Profil, ganz ohne Post/Zeit-Beschränkung, doch ausreichend.

@ZAM: 
Sehr, sehr schön gemacht. =)  


			Dieser Inhalt steht nur eingeloggten Mitgliedern zur Verfügung.
        

 
Die Zwischenseite wird sicherlich einige User, die Scripting aktiviert und/oder keine FW haben, vor Crime-ware bewahren.


----------



## Huntermoon (4. April 2009)

Arocareth schrieb:


> @Huntermoon: Wieso soll man das mit Posts verknüpfen? So quasi als Belohnung? Ist doch ein Sicherheits-Service von Buffed.de
> Falls du es tatsächlich deaktivieren willst, wäre eine für alle sichtbare Einstellung im Profil, ganz ohne Post/Zeit-Beschränkung, doch ausreichend.


Naja, (ich denke zumindest) das die meisten leute, die darauf reinfallen, etwas neuere forums-mitglieder sind...


----------

