You are not logged in.

Dear visitor, welcome to KingsAge.de. If this is your first visit here, please read the Help. It explains in detail how this page works. To use all features of this page, you should consider registering. Please use the registration form, to register here or read more information about the registration process. If you are already registered, please login here.

1

Thursday, August 10th 2017, 6:23pm

[Sicherheitslücke] Unverschlüsselter Login auf der Kingsage Webseite

Mal Vorweg: Wer schlau ist, kann direkt zu der Bugbeschreibung scrollen. Da steht alles drin, was ihr Developer braucht :P .
Allgemeine Daten zur Bugbearbeitung
--------------------------------------------------
Browser ( inklusive der Versionangabe ): Opera 46.0
Internet über (DSL/Firma(Proxy)/Handy): Glasfaser
Email Anbieter: Gmail
Ingamename: tram98
Server (Spielwelt): keine
Premium?: nein
Wann trat der Bug auf: heute und davor
Genaue Beschreibung des Bugs:

Der Bug: Eure Hauptlogin-Seite für Kingsage übermittelt Login-Daten unverschlüsselt. Somit sind Username und Passwort für jeden Packet-Sniffer sichtbar. Dass der Login unsicher ist, wird einem auch vom Browser mitgeteilt (siehe Screenshot). Ich selber habe mit Wireshark schon Traffic mit meinen Daten ausgelesen und so schwer ist es wirklich nicht.

Meine Meinung: Ich will euch nicht vorschreiben, wie ihr euer System gestaltet aber wenn man z.B. in einem öffentlichen Wifi-Netzwerk ist, dann können Daten einfach ausgelesen werden, was ich nicht wirklich toll finde. Zwar sind Kingsage-Login-Daten nicht so wichtig wie diese von einem Banking-Account, aber auf ein sicheres Protokoll umzusteigen ist nicht sonderlich schwer. Außerdem wäre es für den Spieler blöd, den Account zu verlieren.


Screenshot (siehe Kreis): http://134.255.232.118/img/KALogin.png


Ich hoffe, dass euer Dev-Team das Problem mal unter die Lupe nimmt.

LG

Jannick | tram98

2

Friday, August 11th 2017, 11:23am

Kingsage genau wie andere Browserspiele auch, werden auch noch auf HTTPS umgestellt und es ist bereits auf unserer Agenda. Trotzdem Danke für den Hinweis :)

3

Friday, August 11th 2017, 2:08pm

Kingsage genau wie andere Browserspiele auch, werden auch noch auf HTTPS umgestellt und es ist bereits auf unserer Agenda. Trotzdem Danke für den Hinweis :)
Alles klar :) #closeRequest

4

Monday, August 14th 2017, 9:36am

Zu wie gewünscht :)