Valve: Offener Brief kritisiert Sicherheitspolitik

Bild von mrkhfloppy
mrkhfloppy 35681 EXP - 22 Motivator,R11,S10,A10,J10
News-Redaktion: Hat von der Redaktion weitere Rechte für das News-Redigieren erhaltenDieser User hat uns an Weihnachten 2018 mit einer Spende von 5 Euro unterstützt.Alter Haudegen: Ist seit mindestens 5 Jahren bei GG.de registriertDieser User hat uns an Weihnachten 2017 mit einer Spende von 5 Euro unterstützt.Dieser User hat uns an Weihnachten 2015 mit einer Spende von 5 Euro unterstützt.Vielspieler: Hat 250 Spiele in seine Sammlung eingetragenAlter Haudegen: Ist seit mindestens 3 Jahren bei GG.de registriertDieser User hat uns an Weihnachten 2013 mit einer Spende von 5 Euro unterstützt.Dieser User hat uns an Weihnachten 2016 mit einer Spende von 5 Euro unterstützt.Loyalist: Ist seit mindestens einem Jahr bei GG.de dabeiDiskutierer: Hat 1000 EXP durch Comments erhaltenDieser User hat uns an Weihnachten 2014 mit einer Spende von 5 Euro unterstützt.

20. Juli 2014 - 13:21 — vor 9 Jahren zuletzt aktualisiert
Dieser Inhalt wäre ohne die Premium-User nicht finanzierbar. Doch wir brauchen dringend mehr Unterstützer: Hilf auch du mit!
Team Fortress 2 ab 39,90 € bei Amazon.de kaufen.

Auf SteamDB wurde am Anfang der Woche ein offener Brief an Valve, den Betreiber der bekannten Online-Plattform Steam, veröffentlicht. Die verschiedenen Community-Entwickler – darunter viele Mitarbeiter des offiziellen Team Fortress-Wikis – kritisieren darin die Sicherheitspolitik des Unternehmens.

Die Verfasser des Schreibens bemängeln, dass der Half-Life-Entwickler kein Kopfgeldjägerprogramm für Programmfehler betreibt. Unternehmen wie Facebook und Google würden zum Teil fünfstellige Beträge für entsprechende Berichte zahlen, während Valve dafür maximal virtuelle Hüte für Team Fortress verteile. Zudem sei das Einreichen entsprechender Hinweise erschwert, weil es keine klare Support-Seite für diese gäbe. So verweise der erste Treffer einer Google-Suche nach "Steam bug report" auf die Community-Seite des Spiels Dogfighter.

Kritisiert wurde auch der Umgang mit dem sogenannten Heartbleed-Fehler, der im April dieses Jahres publik wurde. Nach Einschätzungen der Briefschreiber habe das Unternehmen 24 Stunden für Schließung der Sicherheitslücke benötigt, was bemessen an der Unternehmensgröße und der Sensibilität der Nutzerdaten nicht ausreichend sei. Zudem seien die User und Partner unzureichend informiert und Passwörter nicht zurückgesetzt worden.

Valve verfasste die Antwort auf den Brief noch am selben Tag und versicherte, dass die aktuellen Prozeduren überprüft werden. Außerdem wurde eine neue Website aufgesetzt, die diese erklärt und alle benötigten Daten für den Kontakt bereitstellen soll. Der Vorwurf der zu langsamen Schließung der Heartbleed-Lücke wurde indessen nicht beantwortet.

Das Unternehmen erklärte zudem, dass die internen Teams unterschiedliche Verfahrensweisen für den Umgang mit Sicherheitslücken und Hinweisen hätten. So sei die kritisierte Vergabe der Hüte eine Besonderheit der Entwickler hinter Team Fortress 2. Im Moment bestünden jedoch keine Pläne, ein Kopfgeldsystem einzuführen. Vielmehr sollen hauptsächlich Partner und Sicherheitsforscher diese Aufgaben übernehmen und verantwortungsvoll berichten. Im Fall der Fälle würde Valve eng mit diesen zusammenarbeiten.

immerwütend 22 Motivator - 31893 - 20. Juli 2014 - 12:47 #

Hüte? Was für Hüte???

Hemaehn 16 Übertalent - 4637 - 20. Juli 2014 - 12:49 #

Wahrscheinlich für TF2, für die Spielfigur.

immerwütend 22 Motivator - 31893 - 20. Juli 2014 - 12:51 #

Echt jetzt? Das wäre ja mal ein Anreiz... O__O

mrkhfloppy 22 Motivator - 35681 - 20. Juli 2014 - 12:58 #

Habe die Passage ergänzt, nicht das jemand auf eine Kopfbedeckung für den nächsten Winter hofft.

Sven Gellersen 23 Langzeituser - - 45101 - 20. Juli 2014 - 15:21 #

Ich verstehe da ehrlich gesagt immer noch Bahnhof :(

immerwütend 22 Motivator - 31893 - 20. Juli 2014 - 15:31 #

Du kriegst einen virtuellen Hut, den du brauchen kannst, falls du TF2 spielst. Spielst du es nicht, kriegst du ihn trotzdem.
Was willst du denn noch? Einen Sinn in der ganzen Aktion?^^

Hemaehn 16 Übertalent - 4637 - 20. Juli 2014 - 15:31 #

Man bekommt einen Ingame-Gegenstand.. sowas bspw. https://wiki.teamfortress.com/wiki/Soldier%27s_Stash

mrkhfloppy 22 Motivator - 35681 - 20. Juli 2014 - 15:32 #

In TF2 kann man seinen Charakter optisch individualisieren, z.B. durch Hüte für den Kopf. Eben solche habe Bug-Reporter vom Team bekommen.

Sven Gellersen 23 Langzeituser - - 45101 - 20. Juli 2014 - 15:56 #

Danke für eure Antworten. Ich hatte mir ja schon gedacht, dass solche Hüte gemeint waren, wollte dies aber nicht wahrhaben. Steht doch irgendwie in argem Missverhältnis zum Arbeitsaufwand.

Rashim of Xanadu 16 Übertalent - 4273 - 20. Juli 2014 - 13:28 #

1) People are not wearing enough hats
2) Matter is Energy

Ardrianer 19 Megatalent - 19689 - 20. Juli 2014 - 16:09 #

Free hats! fang schon mal an zu falten ;)

blobblond 20 Gold-Gamer - P - 24478 - 20. Juli 2014 - 17:44 #

Freiheit für Hat McCullough?Oo

Ardrianer 19 Megatalent - 19689 - 21. Juli 2014 - 16:57 #

genau darauf spielte ich an ^^

Hagen Gehritz Redakteur - P - 171904 - 22. Juli 2014 - 7:35 #

Gebt dem Mann ein Baby!

Infernal 13 Koop-Gamer - 1685 - 22. Juli 2014 - 8:05 #

Haha xD

Scytale (unregistriert) 20. Juli 2014 - 13:09 #

Ist doch ein generelles Problem, es gibt keinerlei Anreize, eine gute und sichere Software zu schreiben. Sie muss ja nur funktionieren und man behebt die Bugs, die in die Mainstream-Nachrichten gelangen.

cl3ave 15 Kenner - 3387 - 20. Juli 2014 - 15:12 #

Ja, leider ist das viel zu oft der Fall.

Bruno Lawrie 22 Motivator - - 33345 - 20. Juli 2014 - 14:20 #

24 Stunden für das Schließen einer Lücke soll schlecht sein? Ich finde das in Anbetracht der Größe und Vielseitigkeit der Plattform ziemlich beachtlich!

Davon abgesehen ist der Steam-Account auf mehrere Arten abgesichert. Selbst mit einem erfolgreichen Heartbleed-Angriff wäre ein Account in den meisten Fällen noch nicht kompromittiert. Und Kreditkartendaten werden im Normalfall auch nicht bei jeder Transaktion neu übertragen.

Bei der restlichen Kritik stimme ich aber zu.

Barkeeper 16 Übertalent - 4420 - 20. Juli 2014 - 16:01 #

Jupp 24 Stunden sind ok, wenn damit alle Server gemeint sind.
Wir haben 3 Tage gebraucht. Die sensiblen Server die aus dem Internet erreichbar sind haben ca. 6-8 Stunden gedauert. Und nochmal ein paar oben drauf als dann beschlossen wurde unternehmensweit ALLE Zertifikate zu widerrufen und neue SSL-Zertifikate einzuspielen.

Aber für alle unsere Server, war allein unser Team 3 Tage beschäftigt. Und wir sind schon ganz gut durchautomatisiert.

Cat Toaster (unregistriert) 20. Juli 2014 - 16:03 #

24h sind in der Tat schon recht gut, insbesondere für ein Unternehmen welches ansonsten praktisch keinen real existierenden Kundenservice hat.

Loco 17 Shapeshifter - 8999 - 20. Juli 2014 - 16:14 #

Warum reden wir hier denn jetzt von Google ^^ :)

helba1 16 Übertalent - P - 4374 - 21. Juli 2014 - 15:39 #

Hab selbst nur gute Erfahrungen mit dem Google Kundenservice.

Scytale (unregistriert) 20. Juli 2014 - 21:21 #

Ich glaube, Oracle hält den negativ-Rekord, die haben erst letzte Woche Heartbleed gefixed.

Ansonsten war Heartbleed ein Bug, der sehr lange da war, d.h. über die Zeit und bei der Masse an Steam-Usern hätte man eine Menge auslesen können. Wie die Quelle sagt, bei so was hätten die User gewarnt werden müssen, da man davon ausgehen muss, dass Kreditkarteninfos an dritte gegangen sind.

Bruno Lawrie 22 Motivator - - 33345 - 21. Juli 2014 - 22:46 #

Ich hab nur vom technischen Fix geschrieben. Dass kein Hinweis auf potentiell kompromittierte Zahlungs- und Logindaten an die User rausging, finde ich auch inakzeptabel.

Loco 17 Shapeshifter - 8999 - 20. Juli 2014 - 15:25 #

Ich sag nur Half-Life 2 Source Code :) ...naja aber immerhin gibt es den Half-Life 3 Source Code noch nicht im Netz. Wenn sie ihn denn überhaupt selbst schon haben ^^ ...ansonsten war Valve damals beim Half-Life 2 Leak ja auch schon in der Kritik, weil sie eben keinerlei echte Sicherheitsvorkehrungen hatten und der Leak quasi eigene Schuld war.

monokit 14 Komm-Experte - 2495 - 21. Juli 2014 - 1:14 #

Es gibt Leute die noch TF2 spielen? *duckundweg*

immerwütend 22 Motivator - 31893 - 21. Juli 2014 - 10:00 #

Aber klar - Hütchenspieler ;-)

ak... 15 Kenner - 2856 - 21. Juli 2014 - 10:58 #

Aktuell über 50.000
http://store.steampowered.com/stats/?l=german