Valve - Community kritisiert die Sicherheitspolitik

In einem offenen Brief haben Teile der Steam-Community Kritik an der Sicherheitspolitik von Valve geübt. So erschwere das Unternehmen die Arbeit professioneller Bug-Sucher, während es auf Sicherheitslücken deutlich zu spät reagiere. Valve reagierte mit einer Antwort und einer neuen Webseite für Sicherheitsfragen bezüglich Steam.

von Stefan Köhler,
20.07.2014 16:27 Uhr

In einem offenen Brief kritisieren Community-Mitglieder von SteamDB die Sicherheitspolitik der Firma Valve. So sei die Belohnung für das Finden von Bugs fragwürdig, der Meldeweg intransparent und die Reaktionszeit auf kritische Fehler viel zu lang.In einem offenen Brief kritisieren Community-Mitglieder von SteamDB die Sicherheitspolitik der Firma Valve. So sei die Belohnung für das Finden von Bugs fragwürdig, der Meldeweg intransparent und die Reaktionszeit auf kritische Fehler viel zu lang.

Die Sicherheitspolitik von Valve ist besorgniserregend - das findet eine Gruppe von SteamDB-Nutzern, die in einem offenen Brief Kritik am Dienstleister, Publisher und Entwickler üben. Zu den Unterzeichnern gehören Sicherheitsexperten, Schreiber des Team Fortress Wikis und andere Mitglieder der SteamDB.

So sei unter anderem das Belohnungssystem für das Finden von Bugs unzureichend. Denn während Unternehmen wie Google und Facebook teilweise fünfstellige Beträge für das Finden kritischer Bugs bezahlen, gibt Valve keine bis annähernd wertlose Prämien aus - im Falle von Team Fortress 2 sogar nur in Form von Ingame-Gegenständen wie Hüten.

Laut dem Brief sei diese Regelung im Falle von Spielen wie Team Fortress 2 ärgerlich und beleidigend, im Falle von Sicherheitsfragen bei Steam-Kontodaten und Kreditkarteninformationen aber rücksichtslos und indiskutabel. Freischaffende Sicherheitsexperten würden sich von Valve abwenden, da ihnen schlicht eine angemessene Bezahlung fehlt.

Außerdem kritisierten die Unterzeichner die Geschwindigkeit, mit der Valve Sicherheitslücken schließt. Als Beispiel wird der OpenSSL-Bug »Heartbleed« genannt, den Valve erst 24 Stunden nach Bekanntwerden von den eigenen Servern getilgt hatte - was eine inakzeptable Zeitspanne für eine Firma sei, die über Millionen geheimer Nutzerdaten verfügt.

Auch die unübersichtliche Situation, was man beim Finden eines Bugs tun sollte, sei für Valve und Nutzer schädlich. So führt der erste Google-Treffer für »steam bug report« laut dem Brief auf das Steamforum des Spiels DogFighter - bei unserem Test kamen wir immerhin zu einem How-To bezüglich des Steam Beta Clients.

Teilweise würde man an die privaten Mail-Adressen von Valve-Mitarbeitern schreiben müssen, um auf bestimmte Fehler aufmerksam machen zu können - solang die Mail-Adressen denn überhaupt bekannt seien.

Diese Probleme existieren laut den Unterzeichnern schon seit Jahren, für den offenen Brief habe man sich aber erst entschieden, als ein unabhängiger Entwickler einen Bug bei Steamworks entdeckt hatte - und dafür von Valve aus der Community gebannt wurde.

Valve veröffentlichte als Reaktion auf das Protestschreiben noch am selben Tag eine Antwort. So würde man die Maßnahmen, die momentan genutzt werden, noch einmal evaluieren und überdenken. Außerdem wurde eine neue Webseite geschaffen, die die Prozedere von Valve bei Erhalt eines Bug-Reports erklären und damit Transparenz schaffen soll.

Allerdings habe man keine konkreten Pläne, am Belohnungssystem für Bug-Jäger etwas zu verändern. Auch am Bann von Community-Mitgliedern möchte man festhalten, sollten diese eine Gefahr für andere Nutzer darstellen.

GameStar TV: Steam Early Access - Folge 23/2014 PLUS 16:06 GameStar TV: Steam Early Access - Folge 23/2014

Steam-Historie - Die Entwicklung von Valves Online-Plattform ansehen


Kommentare

Nur angemeldete Benutzer können kommentieren und bewerten.

wird geladen ...