Artikel: New World - Gefährlicher Exploit macht Spieler fassungslos, Amazon reagiert

Dieses Thema im Forum "Diskussionen zu Gamestar-Artikeln" wurde erstellt von Christian Just, 30. Oktober 2021.

Schlagworte:
  1. Christian Just Mitarbeiter

    Christian Just
    Registriert seit:
    31. Juli 2013
    Beiträge:
    12
    Mein RIG:
    CPU:
    Ryzen 7 3700X
    Grafikkarte:
    MSI RTX 2070 Super
    Motherboard:
    Asus TUF B450-Plus Gaming
    RAM:
    32GB 3000MHz Crucial Ballistix Sport LT
    Laufwerke:
    3x SSD, 2x HDD - 4TB
    Gehäuse:
    CSL Vega
    Maus und Tastatur:
    Logitech G403 + G815
    Betriebssystem:
    Win 10
    Monitor:
    Acer Nitro VG270UP
    Hier findet ihr die Diskussion zum Thema "New World: Gefährlicher Exploit macht Spieler fassungslos, Amazon reagiert".

    Den Artikel findet ihr hier.

    Bitte beachtet unsere Kommentar - und Forenregeln. Haltet die Diskussion sachlich und themenbezogen. Wer das nicht kann, wird von ihr ausgeschlossen.
     
  2. Anberlin

    Anberlin
    Registriert seit:
    8. November 2018
    Beiträge:
    103
    Mein RIG:
    CPU:
    Intel i9-9900K
    Grafikkarte:
    EVGA GeForce RTX 2080 Ti XC GAMING 11G-P4-2382-KR
    Motherboard:
    Gigabyte Z390 Aorus Ultra
    RAM:
    32 GB 3200 G.Skill Trident Z RGB
    Gehäuse:
    NZXT H510 Elite
    Viel problematischer dürfte sein, dass Spieler unlängst festgestellt haben, dass der Großteil der Berechnungen, z.B. des Schadens komplett client-seitig (Client side authority) abläuft. Das ermöglicht es unter anderem den Schadenseingang zu unterbrechen, bzw. zu verzögern. Es gibt aber auch bereits Spieler, die Skripte geschrieben haben, die die Übertragung der Daten an den Server manipuliert haben.

    Sollte sich das bewahrheiten, dann wäre New World nur mit extrem großem Aufwand zu reparieren. Experten gehen davon aus, dass die Programmierarbeit daran einer Neuprogrammierung wesentlicher Teile gleich kommt, und bis zu einem Jahr dauern dürfte.

    In den meisten, wenn nicht sogar allen gängigen MMOs werden solche Berechnungen, eben wegen der Angreifbarkeit, nur auf Seiten des Servers durchgeführt.

    Wundert mich etwas, dass die Gamestar das Thema bisher gänzlich ignoriert.

    Josh Hayes hat das in einem Video zusammengefasst: https://m.youtube.com/watch?v=hFbv-o7pa38

    Andere Tests haben zuletzt gezeigt, dass die Perks im Spiel komplett fehlerhaft berechnet werden und oftmals nutzlos sind: https://www.forbes.com/sites/paulta...are-fundamentally-broken-testing-reveals/amp/

    Das sind nur ein paar der Probleme, die zuletzt gezeigt haben, wie grundlegend kaputt New World im Kern ist.
     
  3. burglar

    burglar
    Registriert seit:
    28. September 2013
    Beiträge:
    16
    HTML ist übrigens kein Code, sondern eine Auszeichnungssprache (Markup). Der Unterschied ist, dass HTML keine Logik enthält. Sofern man nicht gleichzeitig auch JavaScript o.ä. darüber ausführen lassen kann (was unwahrscheinlich ist), dürften die Abstürze daher rühren, dass der Client nicht 100% XHTML-standardkonformen ist. Übermittelt man etwas, das der Client nicht auswerten kann, führt das zu einem Absturz. Das ist insofern eine "gute" Nachricht, als dass, anders als im Artikel dargestellt wird, kein fremder und bösartiger Code ausgeführt werden kann.
     
    dabba gefällt das.
  4. Crusha K. Rool der komische Kauz

    Crusha K. Rool
    Registriert seit:
    25. Mai 2007
    Beiträge:
    8.680
    Ort:
    Niedersachsen
    Naja, als Quickfix gegen den HTML-Exploit reicht es ja vermutlich, einen einfachen HTML-Escaper einzubauen, der dann bspw. < durch &lt; ersetzt. Daher lässt sich das auch relativ kurzfristig fixen. Das ist aber eine so grundlegende Sicherheitslücke, die eigentlich seit Jahren jedem Programmierer immer wieder eingebläut wird (OWASP Top 10 & Co.), dass es einem schon zu denken geben muss, dass das überhaupt auftritt. Wann immer man irgendwo etwas anzeigt, was vom Nutzer eingegeben wurde, muss man sich Gedanken um Escaping machen.
     
  5. RCB

    RCB
    Registriert seit:
    5. Februar 2018
    Beiträge:
    48
    VIel besser ist doch das man jetzt kein Geld mehr von seinen Auktionshausverkäufen bekommt, wenn man nicht online ist.
     
  6. DaWinkla

    DaWinkla
    Registriert seit:
    6. September 2019
    Beiträge:
    1.092
    Mein RIG:
    CPU:
    AMD Ryzen 9 3600X
    Grafikkarte:
    RX 5700 XT Red Devil
    Motherboard:
    MSI B450 Tomahawk Max
    RAM:
    Crucial Ballistix Sport LT 32GB DDR4-3000 CL16
    Laufwerke:
    NVMe + SSD + HDD als Datengrab
    Soundkarte:
    Onboard
    Gehäuse:
    Fractal Design Meshify S2
    Maus und Tastatur:
    Corsair
    Betriebssystem:
    Windows 10
    Monitor:
    Asus PB287Q
    Sehe ich nicht so, siehe Thread https://twitter.com/cubesos/status/1453756798025011206
     
  7. RCB

    RCB
    Registriert seit:
    5. Februar 2018
    Beiträge:
    48
    Erfahrene Entwickler haben auch keine Lust auf den unterbezahlten Job bei AGS :D
     
    Symoris und MegaVolt456 gefällt das.
  8. Masek

    Masek
    Registriert seit:
    1. April 2009
    Beiträge:
    4
    Ich finde den Artikel wenig gelungen. HTML im Chat ist nicht gut, aber es ist vor allem dann richtig kritisch, wenn man da auch Skripte (z.B. Javascript) einbauen kann. Ob das der Fall war wird weder im Artikel noch in den genannten Quellen erwähnt.
     
  9. z4kk

    z4kk
    Registriert seit:
    8. Oktober 2015
    Beiträge:
    1
    Vom kompletten blockieren des Chatfensters bis zu einem Spielabsturz ist alles dabei möglich. Nervig genug?
     
  10. MichaCazar GIB 3.16

    MichaCazar
    Registriert seit:
    12. Januar 2017
    Beiträge:
    1.213
    Ort:
    Trier
    "Nervig" und "jemand kann dir nen Wurm/Trojaner auf dem Rechner installieren oder deinen Rechner für einen Botnetz missbrauchen" sind definitiv Welten Unterschied der durchaus wichtig zu erwähnen wäre.
     
  11. Wisdoom

    Wisdoom
    Registriert seit:
    28. Februar 2009
    Beiträge:
    396
    Echt oag, schade für alle die das langfristig zocken wollten.
     
  12. MichaCazar GIB 3.16

    MichaCazar
    Registriert seit:
    12. Januar 2017
    Beiträge:
    1.213
    Ort:
    Trier
    Es ging darum das es fraglich ist ob da Javascript Codes mit ausgeführt werden könnte, wenn ja wäre das eine unheimlich wichtige Info da dann ein Absturz das kleinste Übel wäre.
     
  13. Peter Bathge Mitarbeiter

    Peter Bathge
    Registriert seit:
    4. Juni 2018
    Beiträge:
    260
    Ort:
    Fürth
    Danke für euer Feedback zum HTML-"Code" und dem Hinweis zu Javascript. Ich habe die News entsprechend überarbeitet und zu Zwecken der Transparenz einen Update-Kasten eingefügt.
     
  14. burglar

    burglar
    Registriert seit:
    28. September 2013
    Beiträge:
    16
    Vielen Dank dafür! Sehr löblich.
     
  15. Cas27

    Cas27
    Registriert seit:
    8. Februar 2003
    Beiträge:
    6.573
    Könnt ihr bitte diese Boulevard/Clickbait whatever Sprache in den Überschriften lassen? Das nervt einfach. 99% der Spieler haben keine Ahnung welche Konsequenzen dieser Exploit haben kann, inklusive euch wie das News Update zeigt, also dichtet doch nicht diesen unnötigen Kram da rein.

    Und als Quelle dann einen Channel nennen der primär von "Aufregern" lebt. Wenn ich mich nicht irre war das auch einer von denen die aus diesem Dreamworld(?) Kickstarter, wo 600 Leute knapp 50000$ gezahlt haben, einen Mega Aufriss gemacht haben als wärs der größte Scam der Spielegeschichte.

    Genau dieses emotionalisieren führt zu diesen Auswüchsen wo Grenzen überschritten werden und Leute jenseits von berechtigter Kritik belästigt werden bis hin zu strafrechtlich relevanten Taten.

    Bringt das mehr Klicks? Vermutlich. Muss man deswegen Teil davon sein? Ich hoffe nicht.
     
    dmsephiroth gefällt das.
  16. Kernkraft88

    Kernkraft88
    Registriert seit:
    1. August 2018
    Beiträge:
    43
    MMO 1x1
    Niemals essentielle Dinge clientseitig berechnen lassen.
    Das ist einfach der größte Fail, den man sich leisten kann.
     
    dmsephiroth und MegaVolt456 gefällt das.
  17. DaWinkla

    DaWinkla
    Registriert seit:
    6. September 2019
    Beiträge:
    1.092
    Mein RIG:
    CPU:
    AMD Ryzen 9 3600X
    Grafikkarte:
    RX 5700 XT Red Devil
    Motherboard:
    MSI B450 Tomahawk Max
    RAM:
    Crucial Ballistix Sport LT 32GB DDR4-3000 CL16
    Laufwerke:
    NVMe + SSD + HDD als Datengrab
    Soundkarte:
    Onboard
    Gehäuse:
    Fractal Design Meshify S2
    Maus und Tastatur:
    Corsair
    Betriebssystem:
    Windows 10
    Monitor:
    Asus PB287Q
  18. MegaVolt456

    MegaVolt456
    Registriert seit:
    5. März 2020
    Beiträge:
    72
    Kernkraft88 gefällt das.
  19. DaWinkla

    DaWinkla
    Registriert seit:
    6. September 2019
    Beiträge:
    1.092
    Mein RIG:
    CPU:
    AMD Ryzen 9 3600X
    Grafikkarte:
    RX 5700 XT Red Devil
    Motherboard:
    MSI B450 Tomahawk Max
    RAM:
    Crucial Ballistix Sport LT 32GB DDR4-3000 CL16
    Laufwerke:
    NVMe + SSD + HDD als Datengrab
    Soundkarte:
    Onboard
    Gehäuse:
    Fractal Design Meshify S2
    Maus und Tastatur:
    Corsair
    Betriebssystem:
    Windows 10
    Monitor:
    Asus PB287Q
    Er haut sein Tagen Videos raus, die mehr als 1 Millionen Aufrufe haben und "entschuldigt" sich via Twitter :topmodel:
    https://twitter.com/JoshStrifeHayes/status/1454611746409361408
     
  20. MegaVolt456

    MegaVolt456
    Registriert seit:
    5. März 2020
    Beiträge:
    72
    ah hatte ich so nicht mitbekommen.
    Ändert aber leider nichts am Zustand des Spiels und das es weiter berg ab geht damit. Warten wir mal nen Monat, entweder haben die es dim griff oder es wird im nächsten Jahr F2P
     
  21. Veged immer Fünfter

    Veged
    Registriert seit:
    6. September 2005
    Beiträge:
    8.690
    Mein RIG:
    CPU:
    AMD Ryzen 7 3700X
    Grafikkarte:
    Powercolor RX 6800 XT
    Motherboard:
    Gigabyte Aorus Pro
    RAM:
    32GB G.Skill Trident-z RGB DDR4 3600MHz CL16
    Laufwerke:
    500GB Samsung 970
    1000GB Samsung EVO 970
    Soundkarte:
    OnBoard
    Gehäuse:
    BeQuiet! Dark Base 700
    Maus und Tastatur:
    Ducky ONE 2 / Mini
    Roccat Kone RGB
    Betriebssystem:
    Win 10 x64
    Monitor:
    LG 34UC88-B
    Vier Videos in drei Tagen ist jetzt nicht brachial viel.
    Ich frage mich, wofür er sich entschuldigt. Es mag ein - inzwischen gefixter - Bug gewesen sein, aber zum Zeitpunkt des Rollvideos war nun mal der Client die Autorität, die den Server warten ließ. Nur konnte er gar nicht wissen, dass es einer war.
    Zumal diese Bugs ziemlich schnell gefixt wurden nachdem die Videos online gingen, wobei ich natürlich nicht wissen kann ob es auch wegen den Videos war.
    Am Ende entwertet eine falsche Aussage seinen restlichen Content nicht, auch wenn ich es etwas schade finde, dass er für dieses Thema ein wenig ins Clickbaiting verfällt.
     
  22. Sace

    Sace
    Registriert seit:
    12. Dezember 2018
    Beiträge:
    1.013
    Was soll "Der Client hat nix zu melden, das war ja nur ein Bug" überhaupt bedeuten? Ob das by Design war oder ein Bug ist, dass der Client zur Autorität wird, ist doch völlig unerheblich. Beim Ziehen des Clientfensters auf dem Server unsterblich zu werden bedeutet sehr wohl, dass der Client in vielen Belangen die Hosen an hatte.

    Keine Ahnung, wo Hayes jetzt mit der Aussage falsch liegen soll.
     
  23. dmsephiroth

    dmsephiroth
    Registriert seit:
    26. März 2014
    Beiträge:
    2.149

    (Bin ganz bei Dir)
    aber angeblich gibt es hier ja keine Boulevard/Bild-Like Überschriften wie das oder:

    "WAS SPIELER ZU XYZ WISSEN MÜSSEN", "DER SCHLIMMSTE BUG XYZ" , "ALLE NEWS ZU XYZ"(dann steht im Artikel das praktisch nix bekannt ist :D)

    Solche Artikel klicke ich grundsätzlich nicht mehr an und kann es auch nur jeder Person hier empfehlen.
    Das sich div. Mitarbeiter dann noch wundern das man solche Clickbait-Artikel nicht noch (nicht mehr bei mir) finanziell unterstützen will, finde ich immer funny.

    Ebenso die Popup-Hölle hier. Sehe zum 1. Mal (dank schaurigem Reha-PC) wie Spamverseucht Gamestar mit Werbung ist. Manche Popups wurden hier verboten.
    Ich besuche privat sicher nicht GS.de ohne Addblocker. Meine Sicherheit ist mir da doch wichtiger ;))
     
  24. CortiWins

    CortiWins
    Registriert seit:
    17. Dezember 2016
    Beiträge:
    70
    New World zu beobachten ist wie damals Fallout 76 beim Brennen zusehen. Ich bin im Grunde froh, dass mir das Spiel/Franchise nichts bedeutet. Ist schade wie sowas Kunden zu der Annahme erzieht, Schlechtes zu erwarten.
     
Top