Auf SteamDB wurde am Anfang der Woche ein offener Brief an Valve, den Betreiber der bekannten Online-Plattform Steam, veröffentlicht. Die verschiedenen Community-Entwickler – darunter viele Mitarbeiter des offiziellen Team Fortress-Wikis – kritisieren darin die Sicherheitspolitik des Unternehmens.
Die Verfasser des Schreibens bemängeln, dass der Half-Life-Entwickler kein Kopfgeldjägerprogramm für Programmfehler betreibt. Unternehmen wie Facebook und Google würden zum Teil fünfstellige Beträge für entsprechende Berichte zahlen, während Valve dafür maximal virtuelle Hüte für Team Fortress verteile. Zudem sei das Einreichen entsprechender Hinweise erschwert, weil es keine klare Support-Seite für diese gäbe. So verweise der erste Treffer einer Google-Suche nach "Steam bug report" auf die Community-Seite des Spiels Dogfighter.
Kritisiert wurde auch der Umgang mit dem sogenannten Heartbleed-Fehler, der im April dieses Jahres publik wurde. Nach Einschätzungen der Briefschreiber habe das Unternehmen 24 Stunden für Schließung der Sicherheitslücke benötigt, was bemessen an der Unternehmensgröße und der Sensibilität der Nutzerdaten nicht ausreichend sei. Zudem seien die User und Partner unzureichend informiert und Passwörter nicht zurückgesetzt worden.
Valve verfasste die Antwort auf den Brief noch am selben Tag und versicherte, dass die aktuellen Prozeduren überprüft werden. Außerdem wurde eine neue Website aufgesetzt, die diese erklärt und alle benötigten Daten für den Kontakt bereitstellen soll. Der Vorwurf der zu langsamen Schließung der Heartbleed-Lücke wurde indessen nicht beantwortet.
Das Unternehmen erklärte zudem, dass die internen Teams unterschiedliche Verfahrensweisen für den Umgang mit Sicherheitslücken und Hinweisen hätten. So sei die kritisierte Vergabe der Hüte eine Besonderheit der Entwickler hinter Team Fortress 2. Im Moment bestünden jedoch keine Pläne, ein Kopfgeldsystem einzuführen. Vielmehr sollen hauptsächlich Partner und Sicherheitsforscher diese Aufgaben übernehmen und verantwortungsvoll berichten. Im Fall der Fälle würde Valve eng mit diesen zusammenarbeiten.
Hüte? Was für Hüte???
Wahrscheinlich für TF2, für die Spielfigur.
Echt jetzt? Das wäre ja mal ein Anreiz... O__O
Habe die Passage ergänzt, nicht das jemand auf eine Kopfbedeckung für den nächsten Winter hofft.
Ich verstehe da ehrlich gesagt immer noch Bahnhof :(
Du kriegst einen virtuellen Hut, den du brauchen kannst, falls du TF2 spielst. Spielst du es nicht, kriegst du ihn trotzdem.
Was willst du denn noch? Einen Sinn in der ganzen Aktion?^^
Man bekommt einen Ingame-Gegenstand.. sowas bspw. https://wiki.teamfortress.com/wiki/Soldier%27s_Stash
In TF2 kann man seinen Charakter optisch individualisieren, z.B. durch Hüte für den Kopf. Eben solche habe Bug-Reporter vom Team bekommen.
Danke für eure Antworten. Ich hatte mir ja schon gedacht, dass solche Hüte gemeint waren, wollte dies aber nicht wahrhaben. Steht doch irgendwie in argem Missverhältnis zum Arbeitsaufwand.
1) People are not wearing enough hats
2) Matter is Energy
Free hats! fang schon mal an zu falten ;)
Freiheit für Hat McCullough?Oo
genau darauf spielte ich an ^^
Gebt dem Mann ein Baby!
Haha xD
Ist doch ein generelles Problem, es gibt keinerlei Anreize, eine gute und sichere Software zu schreiben. Sie muss ja nur funktionieren und man behebt die Bugs, die in die Mainstream-Nachrichten gelangen.
Ja, leider ist das viel zu oft der Fall.
24 Stunden für das Schließen einer Lücke soll schlecht sein? Ich finde das in Anbetracht der Größe und Vielseitigkeit der Plattform ziemlich beachtlich!
Davon abgesehen ist der Steam-Account auf mehrere Arten abgesichert. Selbst mit einem erfolgreichen Heartbleed-Angriff wäre ein Account in den meisten Fällen noch nicht kompromittiert. Und Kreditkartendaten werden im Normalfall auch nicht bei jeder Transaktion neu übertragen.
Bei der restlichen Kritik stimme ich aber zu.
Jupp 24 Stunden sind ok, wenn damit alle Server gemeint sind.
Wir haben 3 Tage gebraucht. Die sensiblen Server die aus dem Internet erreichbar sind haben ca. 6-8 Stunden gedauert. Und nochmal ein paar oben drauf als dann beschlossen wurde unternehmensweit ALLE Zertifikate zu widerrufen und neue SSL-Zertifikate einzuspielen.
Aber für alle unsere Server, war allein unser Team 3 Tage beschäftigt. Und wir sind schon ganz gut durchautomatisiert.
24h sind in der Tat schon recht gut, insbesondere für ein Unternehmen welches ansonsten praktisch keinen real existierenden Kundenservice hat.
Warum reden wir hier denn jetzt von Google ^^ :)
Hab selbst nur gute Erfahrungen mit dem Google Kundenservice.
Ich glaube, Oracle hält den negativ-Rekord, die haben erst letzte Woche Heartbleed gefixed.
Ansonsten war Heartbleed ein Bug, der sehr lange da war, d.h. über die Zeit und bei der Masse an Steam-Usern hätte man eine Menge auslesen können. Wie die Quelle sagt, bei so was hätten die User gewarnt werden müssen, da man davon ausgehen muss, dass Kreditkarteninfos an dritte gegangen sind.
Ich hab nur vom technischen Fix geschrieben. Dass kein Hinweis auf potentiell kompromittierte Zahlungs- und Logindaten an die User rausging, finde ich auch inakzeptabel.
Ich sag nur Half-Life 2 Source Code :) ...naja aber immerhin gibt es den Half-Life 3 Source Code noch nicht im Netz. Wenn sie ihn denn überhaupt selbst schon haben ^^ ...ansonsten war Valve damals beim Half-Life 2 Leak ja auch schon in der Kritik, weil sie eben keinerlei echte Sicherheitsvorkehrungen hatten und der Leak quasi eigene Schuld war.
Es gibt Leute die noch TF2 spielen? *duckundweg*
Aber klar - Hütchenspieler ;-)
Aktuell über 50.000
http://store.steampowered.com/stats/?l=german