Artikel: New World - Gefährlicher Exploit macht Spieler fassungslos, Amazon reagiert

Viel problematischer dürfte sein, dass Spieler unlängst festgestellt haben, dass der Großteil der Berechnungen, z.B. des Schadens komplett client-seitig (Client side authority) abläuft. Das ermöglicht es unter anderem den Schadenseingang zu unterbrechen, bzw. zu verzögern. Es gibt aber auch bereits Spieler, die Skripte geschrieben haben, die die Übertragung der Daten an den Server manipuliert haben.

Sollte sich das bewahrheiten, dann wäre New World nur mit extrem großem Aufwand zu reparieren. Experten gehen davon aus, dass die Programmierarbeit daran einer Neuprogrammierung wesentlicher Teile gleich kommt, und bis zu einem Jahr dauern dürfte.

In den meisten, wenn nicht sogar allen gängigen MMOs werden solche Berechnungen, eben wegen der Angreifbarkeit, nur auf Seiten des Servers durchgeführt.

Wundert mich etwas, dass die Gamestar das Thema bisher gänzlich ignoriert.

Josh Hayes hat das in einem Video zusammengefasst: https://m.youtube.com/watch?v=hFbv-o7pa38

Andere Tests haben zuletzt gezeigt, dass die Perks im Spiel komplett fehlerhaft berechnet werden und oftmals nutzlos sind: https://www.forbes.com/sites/paulta...are-fundamentally-broken-testing-reveals/amp/

Das sind nur ein paar der Probleme, die zuletzt gezeigt haben, wie grundlegend kaputt New World im Kern ist.

 

HTML ist übrigens kein Code, sondern eine Auszeichnungssprache (Markup). Der Unterschied ist, dass HTML keine Logik enthält. Sofern man nicht gleichzeitig auch JavaScript o.ä. darüber ausführen lassen kann (was unwahrscheinlich ist), dürften die Abstürze daher rühren, dass der Client nicht 100% XHTML-standardkonformen ist. Übermittelt man etwas, das der Client nicht auswerten kann, führt das zu einem Absturz. Das ist insofern eine "gute" Nachricht, als dass, anders als im Artikel dargestellt wird, kein fremder und bösartiger Code ausgeführt werden kann.

 

Naja, als Quickfix gegen den HTML-Exploit reicht es ja vermutlich, einen einfachen HTML-Escaper einzubauen, der dann bspw. < durch &lt; ersetzt. Daher lässt sich das auch relativ kurzfristig fixen. Das ist aber eine so grundlegende Sicherheitslücke, die eigentlich seit Jahren jedem Programmierer immer wieder eingebläut wird (OWASP Top 10 & Co.), dass es einem schon zu denken geben muss, dass das überhaupt auftritt. Wann immer man irgendwo etwas anzeigt, was vom Nutzer eingegeben wurde, muss man sich Gedanken um Escaping machen.

 

VIel besser ist doch das man jetzt kein Geld mehr von seinen Auktionshausverkäufen bekommt, wenn man nicht online ist.

 

Sehe ich nicht so, siehe Thread https://twitter.com/cubesos/status/1453756798025011206

 

Erfahrene Entwickler haben auch keine Lust auf den unterbezahlten Job bei AGS

 

Ich finde den Artikel wenig gelungen. HTML im Chat ist nicht gut, aber es ist vor allem dann richtig kritisch, wenn man da auch Skripte (z.B. Javascript) einbauen kann. Ob das der Fall war wird weder im Artikel noch in den genannten Quellen erwähnt.

 

Vom kompletten blockieren des Chatfensters bis zu einem Spielabsturz ist alles dabei möglich. Nervig genug?

 

"Nervig" und "jemand kann dir nen Wurm/Trojaner auf dem Rechner installieren oder deinen Rechner für einen Botnetz missbrauchen" sind definitiv Welten Unterschied der durchaus wichtig zu erwähnen wäre.

 

Echt oag, schade für alle die das langfristig zocken wollten.

 

Es ging darum das es fraglich ist ob da Javascript Codes mit ausgeführt werden könnte, wenn ja wäre das eine unheimlich wichtige Info da dann ein Absturz das kleinste Übel wäre.

 

Vielen Dank dafür! Sehr löblich.

 

Könnt ihr bitte diese Boulevard/Clickbait whatever Sprache in den Überschriften lassen? Das nervt einfach. 99% der Spieler haben keine Ahnung welche Konsequenzen dieser Exploit haben kann, inklusive euch wie das News Update zeigt, also dichtet doch nicht diesen unnötigen Kram da rein.

Und als Quelle dann einen Channel nennen der primär von "Aufregern" lebt. Wenn ich mich nicht irre war das auch einer von denen die aus diesem Dreamworld(?) Kickstarter, wo 600 Leute knapp 50000$ gezahlt haben, einen Mega Aufriss gemacht haben als wärs der größte Scam der Spielegeschichte.

Genau dieses emotionalisieren führt zu diesen Auswüchsen wo Grenzen überschritten werden und Leute jenseits von berechtigter Kritik belästigt werden bis hin zu strafrechtlich relevanten Taten.

Bringt das mehr Klicks? Vermutlich. Muss man deswegen Teil davon sein? Ich hoffe nicht.

 

MMO 1x1
Niemals essentielle Dinge clientseitig berechnen lassen.
Das ist einfach der größte Fail, den man sich leisten kann.

 

Stimmt wohl doch nicht so ganz, was durch Social Media geistert.
https://forums.newworld.com/t/notice-how-serverclient-authority-is-handled-in-new-world/473167

 

meh das Game ist dennoch broken wie kein zweites .. nichtmal Cyberpunk war so dermassen beschädigt wie dieses Ding.
https://www.youtube.com/watch?app=desktop&v=hFbv-o7pa38

 

Er haut sein Tagen Videos raus, die mehr als 1 Millionen Aufrufe haben und "entschuldigt" sich via Twitter

https://twitter.com/JoshStrifeHayes/status/1454611746409361408

 

ah hatte ich so nicht mitbekommen.
Ändert aber leider nichts am Zustand des Spiels und das es weiter berg ab geht damit. Warten wir mal nen Monat, entweder haben die es dim griff oder es wird im nächsten Jahr F2P

 

Vier Videos in drei Tagen ist jetzt nicht brachial viel.
Ich frage mich, wofür er sich entschuldigt. Es mag ein - inzwischen gefixter - Bug gewesen sein, aber zum Zeitpunkt des Rollvideos war nun mal der Client die Autorität, die den Server warten ließ. Nur konnte er gar nicht wissen, dass es einer war.
Zumal diese Bugs ziemlich schnell gefixt wurden nachdem die Videos online gingen, wobei ich natürlich nicht wissen kann ob es auch wegen den Videos war.
Am Ende entwertet eine falsche Aussage seinen restlichen Content nicht, auch wenn ich es etwas schade finde, dass er für dieses Thema ein wenig ins Clickbaiting verfällt.

 

Was soll "Der Client hat nix zu melden, das war ja nur ein Bug" überhaupt bedeuten? Ob das by Design war oder ein Bug ist, dass der Client zur Autorität wird, ist doch völlig unerheblich. Beim Ziehen des Clientfensters auf dem Server unsterblich zu werden bedeutet sehr wohl, dass der Client in vielen Belangen die Hosen an hatte.

Keine Ahnung, wo Hayes jetzt mit der Aussage falsch liegen soll.

 

(Bin ganz bei Dir)
aber angeblich gibt es hier ja keine Boulevard/Bild-Like Überschriften wie das oder:

"WAS SPIELER ZU XYZ WISSEN MÜSSEN", "DER SCHLIMMSTE BUG XYZ" , "ALLE NEWS ZU XYZ"(dann steht im Artikel das praktisch nix bekannt ist )

Solche Artikel klicke ich grundsätzlich nicht mehr an und kann es auch nur jeder Person hier empfehlen.
Das sich div. Mitarbeiter dann noch wundern das man solche Clickbait-Artikel nicht noch (nicht mehr bei mir) finanziell unterstützen will, finde ich immer funny.

Ebenso die Popup-Hölle hier. Sehe zum 1. Mal (dank schaurigem Reha-PC) wie Spamverseucht Gamestar mit Werbung ist. Manche Popups wurden hier verboten.
Ich besuche privat sicher nicht GS.de ohne Addblocker. Meine Sicherheit ist mir da doch wichtiger )

 

New World zu beobachten ist wie damals Fallout 76 beim Brennen zusehen. Ich bin im Grunde froh, dass mir das Spiel/Franchise nichts bedeutet. Ist schade wie sowas Kunden zu der Annahme erzieht, Schlechtes zu erwarten.